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HJ BAY TA) ER ALTE EAM, Mei 
正在 写 一 本 iO0S 方 面 的 图 书 ， 我 让 他 书 出 来 的 时 候 
送 一 本 给 我 。 之 后 他 在 私信 上 跟 我 说 书写 完了 ， 
让 我 给 写 个 序 ， 我 当即 表示 “上 庄 力 山大 ”， 但 还 是 
WABI. T ° 


我 认识 吴 航 是 在 2011 年 9 月 ， 当 时 安全 管家 在 
找 iOS 开 发 蜗 手 ， 吴 航 作为 我 们 安全 管家 iOS 开 发 
组 的 第 一 个 工程 师 进 来 了 ， 他 和 我 们 从 稚 开 始 搭 
建 iD0S 团 队 ， 并 痢 手 安全 管家 越狱 版 的 开发 。 到 了 
2012 年 年 中 ， 我 认识 到 iOS 自 身 的 安全 性 非常 好 ， 
在 非 越 狱 的 OS 上 我 们 能 做 的 天 于 安全 的 事情 并 不 
多 ， 而 越狱 行为 本 吴 驶 是 一 个 最 大 的 安全 风险 ， 


征用 户主 动 选择 的 结果 ， 跟 我 们 目 吴 的 安全 理念 
不 件 ， 因 此 无 须 投 入 太 多 关注 ， 恰 好 吴 册 本 人 也 
想 出 去 做 目 己 的 事情 ， 于 是 我 文 持 了 他 的 决定 。 


在 奢 大 半年 的 接触 中 ， 我 有 发现 吴山 是 个 难得 
的 技术 人 才 ， 在 技术 的 钻研 上 有 股子 狠 劲 ， 拥 有 
BHI ACSA, META ALS PL RRR 
问题 ， 因 此 在 他 市 团队 的 时 候 ， 评 全 出 来 的 开发 
进度 基本 上 部 能 达成 。 我 印象 深刻 的 有 两 件 事 ， 
BP ETE ROURKE EZI, HTAA H 
BAGH REJLAIRA, (RU MRSURIZHJ 
开发 ， 需 要 目 己 摸 厦 石头 过 河 ， 并 得 反复 笑 试 。 
当时 我 们 制定 了 一 个 比较 紧 的 开发 周期 ， 布 望 在 
较 短 的 时 间 内 开发 出 越狱 版 安全 管家 的 原型 。 关 
航 的 压力 不 小 ， 他 接连 儿 个 月 都 在 研究 系统 展 


层 ， 回 各 路 高 人 请 教 ， 通 过 Google 找 寻 国 外 网 站 
上 的 质料， 没 日 没 夜 地 想 办 法 ， 后 来 终于 在 既定 
的 时 间 内 完成 ， 这 让 我 看 到 了 天 航 不 仅 不 惧 困 
XE, MERTA. ATS Ee TET App 
Store 版 安全 管家 时 ， 有 个 版 本 在 我 的 手机 上 在 不 
同 页 面 间 快 速 切 换 时 会 有 极 小 的 概率 导致 安全 管 
KAR, RDA T RI BAREA EE 
件 ， 但 他 杀 目 反复 高 强度 测试 ， 细 致 地 排查 代 
AS, BERK FP BOX AIA ETS ET Bug, 
JC KE IL EC EBA BOAK AS BREA i E en PAIS 
sf e 


虽然 我 不 做 开发 很 多 年 了 ， 但 是 至 今 仍 起 不 
SERNA TT LEM, IRA ie SB ek 
WAX, AERE See op ET 


x 9 ARBRES] ESI ABT. xe] KIOSA 
RAWE, IRAN BES TE HN ARSE SEE TEN T 
货 ， 让 天 家 都 能 在 技术 的 道路 再 警 高 峰 。 


In our lives,we pay very little attention to things 
that work.Everything we interact with hides a fractal 
of complexity—hundreds of smaller components,all 
of which serve a vital role,each disappearing into its 
destined form and function.Every day,millions of 
people take to the streets with phones in their 
hands,and every day hardware,firmware,and software 
blend into one contiguous mass of 


games,photographs,phone calls,and text messages. 


It holds,then,that each component retains 
leverage over the others.Hardware owns 


firmware,firmware loads and reins in software,and 


software in turn directs hardware.If you could take 
control of one of them,could you influence a device 


to enact your own desires? 


iOS 8 App Reverse Engineering provides a 
unique view inside the software running on 
iOSTM,the operating system that powers the Apple 
iPhone®and iPad®.Within,you will learn what makes 
up application code and how each component fits 
into the software ecosystem at large. You will explore 
the hidden second life your phone leads,wherein it is 
a full-fledged computer and software development 
platform and there is no practical limit to its 


functionality. 


So,young developer,break free of restricted 
software and find out exactly what makes your 


iPhone tick! 


CAVE, RIE ZARE a] DL E 
HS) o» FXE, APR ARS L1] SCE 
东西 ， 往 往 痢 强 仿 了 一 种 “ 复 洒 ”的 美感 一 一 它们 
由 成 百 上 干 的 微小 组 件 构 成 ， 各 个 微小 组 件 各 司 
HOR, FES AAR LE ACHES AD TC BEE 
用 。 现 代 生 活 中 ， 乔 能 手机 已 经 成 了 我 们 每 天 必 
不 可 少 的 工具 ， 通 过 人 硬件、 软件 和 固件 协同 合 
VE, EA BGA ORT PSH ERS > AERA HAF , 
以 及 便利 的 沟通 渠道 一 一 电话 和 短信 。 


在 一 个 巴 稳 大 的 手机 里 ， 各 个 组 件 之 间 的 天 
Rigo RR, HARRIN o 硬件 为 固件 的 运行 提供 


文 择 平 台 ， 男 件 党 管 软 件 ， 而 软件 又 回 过 头 来 调 
度 便 件 。 如 采 你 能 控制 它们 之 中 的 哪 介 一个， 不 
WAY ALE FNL as PUK SS? 但 App StoreB 3: 
手 ， 义 为 你 对 它们 的 控制 加 上 了 重重 阻力 。 


本 书 从 独特 的 角度 谢 术 iOS 应 用 ， 你 会 从 比 
App Store App 更 低 一 级 的 深度 去 了 解 软 件 的 各 个 
组 件 在 构造 整个 软件 时 起 到 的 作用 ， 你 会 由 此 发 
现 手机 的 “里 世界 ”一 一 它 的 能 力 远 不 止 App Store 
所 许可 的 那样 有 限 ， 确 切 地 说 ， 它 是 一 合 功能 齐 
全 的 计算 机 ， 在 它 的 “里 世界 ”里 ， 一 切 宵 有 可 


eu 
HE ° 


年 轻 的 开发 者 ， 从 这 里 开始 打破 App Store] 
限制 ， 重 新 认识 真正 的 iPhone 吧 ! ) 


Dustin L.Howett 


iPhone Tweak 开 发 者 
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转眼 ， 本 书 第 1 版 面世 已 经 快 1 年 了 ， 在 这 一 
年 里 ， 因 为 有 大 家 的 认可 与 推广 ， 本 书 得 到 了 广 
泛 关 注 。 与 此 同时 ，iOS 逆 向 工程 也 在 国内 iOS 开 
ACE Half I ae FOR, HABIT BRIAN A a 
度 ， 正 是 因为 大 家 的 努力 ， 才 使 得 该 技术 得 到 发 
展 ， 而 我 们 作者 团队 也 页 献 了 一 点 力量 ， 甚 感 欣 


Ars | 


随 着 盘古 、 太 极 等 国内 越狱 团队 的 横 衬 出 
E, AKEP RZA TAMER, IOSA 
面 的 较量 已 经 从 App 开 发 转 问 压 层 人 研究， 随 看 
WireLurker 等 病毒 的 出 现 ， 一 些 深 藏 不 露 的 安全 
问题 也 开始 浮 出 水 面 ， 平 未 构 建 的 封 财 系统 正在 


出 现 一 条 条 农 颖 。 不 管 是 进攻 还 是 防守 ， 部 离 不 
开 iOS 刻 同 工 程 技 术 的 使 用 。 在 可 以 预见 的 未 来 ， 
SEAR ATS KE ED UE iOS [AIL 
程 的 应 用 一 定 会 越 来 越 广泛 ， 让 我 们 拭目以待 。 


自 本 书 第 1 版 上 市 后 ， 反 啊 一 直 不 错 ， 京 东 等 
各 大 网 店 的 好 评 率 高 达 95% 以 上 。 随 着 iOS 8 的 发 
布 ， 我 们 清楚 地 意识 到 第 1 版 的 内 容 已 经 不 再 适合 
EL BTHIOS 8。 同 时 根据 一 年 多 以 来 跟 大 家 不 断 的 
沟通 和 交流 ， 也 意识 到 第 1 版 存在 缺憾 和 不 足 ， 例 
如 讲解 不 够 细致 ， 术 多 道 少 等 ， 影 响 了 书 的 可 读 
性 。 因 此 ， 在 即将 推出 全 新 升级 的 《iOS 应 用 逆 回 
工程 》 里 ， 不 但 全 面 文 持 iOS 8， 还 大 幅 更 新 了 章 
节 内 容 ， 泣 盖 更 多 细节 ， 配 备 了 更 多 的 例子 ， 增 
加 了 “ 道 * 的 分 量 ， 比 第 1 版 的 逻辑 性 更 强 ， 更 易 读 


T° EAS, BUN HARA [8] LE rf 
抽 离 出 一 个 通用 的 方法 论 ， 试 图 传递 给 大 家 一 种 
地 问 工程 的 思想 ， 而 不 仅仅 生 工 具 的 使 用 。 


本 书 第 1 版 上 市 之 后 ， 我 曾 把 书 的 目录 和 内 容 
框架 发 布 到 国际 iOS 越 狱 社 区 上 ， 得 到 了 非常 正面 
的 反馈 ， 包 括 Cydia 的 作者 saurik、OSX 着 名 癸 究 
册 fG!、Theos 作 者 DHowett 等 国际 一 线 开发 者 均 对 
本 书 表示 了 浓厚 的 兴趣 ， 这 也 让 我 靖 生 了 让 该 书 
走向 国际 的 想法 。 在 整理 这 一 版 时 ， 我 与 编辑 沟 
通 了 该 想法 ， 没 想到 还 真 促成 了 此 事 。 国 际 版 将 

美国 CRC 出 版 社 在 全 球 出 版 发 行 ， 由 8 位 国外 知 
名 人 研究员 (5 位 美国 籍 、1 位 加 拿 大 籍 、1 位 阿根廷 
籍 、1 位 丹麦 籍 ， 审核 ， 全 球 iOS 逆 向 工程 社区 对 
国际 版 寄予 了 厚望 。 在 第 1 版 的 前 言 里 ， 航 哥 曾 提 


IRG PAO: BNA MAK, RoHS E 
际 一 线 大 牛 的 目标 去 ! PEORIA Bop SR 
i, RPAH Ase, Ne 
AA? 


[1] http://www.feng.com/Story/2015-Apple-will- 
enter-the-era-of-malware-severe- 


defense 602029.shtml. 
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我 是 一 个 热爱 目 助 旅游 拟人。 在 大 学 的 每 个 
寒暑 假 ， 我 都 会 抽出 7~10 天 的 时 间 ， 挑 选中 国 的 
一 个 地 方 当 一 次 衣 包 客 。 因 为 是 目 助 诉 ， 没 有 导 
游 帮 你 安排 好 一 切 ， 所 以 在 出 行 前 ， 我 和 同伴 需 
要 伦 费 不 少时 间 制 订 计 划 、 确 认 路 线 、 购 闫 车 
票 ， 考 虑 路 上 可 能 出 现 的 状况 ， 并 思考 对 策 。 痢 
说 旅游 能 够 开阔 眼界 ， 目 助 游 元 上 只 如 此 一 一 在 路 
上 见 到 的 人 和 事 让 我 增长 见识 ， 更 重要 的 是 ， 在 
开始 这 段 旅程 前 ， 我 束 需 要 对 旅程 中 的 点 点 滴 滴 
有 所 准备 一 一 当 号 体 还 站 在 起 点 时 ， 我 的 头脑 融 
已 经 到 达 终 点 了 ， 这 种 思维 方式 对 全 局 观 的 培养 
征 有 利 的 ， 也 让 我 在 思考 其 他 问题 时 形成 了 从 长 
计 议 的 思维 方式 。 


因此 在 2009 年 攻读 硕士 研究 生前 ， 我 就 曾 深 
入 思 关 过目 己 想 要 从 事 的 研究 方 同 。 我 学 习 的 是 
计算 机 专业 ， 而 从 本 科 开 始 ， 吴 边 绝 大 部 分 同学 
的 研究 平台 是 Windows。 作 为 一 名 动手 能 力 并 不 
给 的 普通 学 生 ， 如 采 我 继续 从 事 Windows 的 人 研 
A, APA ARES: 


JANA TH Bi BAR, RF] E 


不 会 缺少 参照 


:全 究 人 数 众 多 ， 础 到 问题 可 以 请 教 讨论 的 人 
FG EGET E © 


但 是 ， 从 男 一 个 侧面 来 看 ， 这 两 点 “好 处 ”也 


.参考 的 和 资料 越 多 ， 和 意味 着 我 会 越 多 地 重 蹈 六 
ABS T8 8C ; 


FLARE , XRURE ST 5 TK ° 


FABRE, WRR WindowsR 
作 ， 起 步 会 很 顺利 ， 但 后 续 难 你 不 被 淹 没 在 人 海 
E; WRAS, Allee, BER Pa 
BY REIR REFERIS ° 


SNE, RINAS EIA aa o ft 
推荐 我 选择 当时 国内 “小 傈 才 露 尖 尖 角 ” 的 移动 开 
ATI, MRAZ A BE ae RATE 
KEFEN, OA REF ULSI, SVG Li 
开发 软件 了 。 但 是 ， 导 师 是 我 仔细 分 析 所 有 硕士 
生 寻 师 特 点 ， 与 数 名 学 长 交换 意见 之 后 谨慎 挑 夺 


AMAR R, EBERT E SC ACHAT, DAI 
此 ， 我 相信 这 个 判断 ， 于 是 开始 搜寻 移动 开发 的 
相关 资料 。 仅 仅 是 了 解 了 一 些 移动 互联 网 和 智能 
手机 的 概念 ， 我 就 隐隐 发 现 ， 这 个 行业 顺应 了 人 
们 对 计算 机 和 互联 网 更 小 、 更 快 ， 与 生活 融合 更 
紧 的 历史 发 展 趋势 ， 一 定 大 有 作为 ， 送 将 研究 方 
问 定 为 iDOS ° 


万 事 开 头 难 ，iOS 与 我 熟悉 鸭 Windows 有 着 大 
多 太 多 的 不 同 : 类 UNIX、 完 整 的 生态 系统 、 全 孝 
| 闭 、Objective-C 语 言 ， 还 有 对 我 影响 最 深 的 “ 越 
狱 ”， 这 一 切 的 一 切 在 当时 几乎 找 不 到 完整 的 参考 
资料 ， 有 半年 多 近 一 年 的 时 间 ， 我 折腾 黑 苹 果 的 
时 间 要 以 星期 为 单位 。 我 硬 着 头皮 把 《Objective- 
C 基 础 教程 》 上 宛如 天 书 一 般 的 Objective-C 代 码 三 


AXcode, Agit B ACE. (BARA 
面 完全 对 不 上 号 ; 对 iOS 上 似 UNIX 非 UNIX 的 东西 
(如 后 台 运 行 ) KEGoogle, BWER o 4S 
们 都 发 表 了 第 一 篇 小 论文 时 ， 我 甚至 没 明 确 自己 
这 个 月 究竟 在 干什么 ， 我 缺乏 太 多 的 基础 知识 ; 
当 同 学 们 周 来 出 去 K 歌 、 打 政和 祭 时 ， 我 一 个 人 问 
TETAS BOA ALAR CES; 当 同 学 们 躺 在 床上 睡 
懒 觉 时 ， 我 一 个 人 一 大 早 疏 起 来 去 实验 室 加 班 。 
一 个 人 古板 独 的 ， 但 这 种 孤独 换 来 的 是 学 识 的 积 
A, MMR RADI, 3) Tada, AWA 
在 的 充实 ， 束 不 再 会 感受 到 外 在 的 孤独 了 。 男 人 
因 孤 独 而 优秀 ， 付 出 一 定 会 有 回报 一 一 经 过 一 年 
多 的 砍 合 ， 在 2011 年 3 月 的 一 天 ， 以 前 星 深 难民 的 
代码 突然 变 得 平易 近 人 了 ， 每 一 句 的 舍 义 、 每 一 
行 的 天 系 都 变 得 清 芝 了， 和 零 艇 的 知识 点 在 我 的 脑 


袋 里 被 连 成 了 线 ， 整 个 体系 的 逻辑 慢 慢 清 晰 了 。 
于 是 我 快马加鞭 ， 在 2011 年 4 月 初 完 成 了 毕业 设计 
的 程序 雏形 ， 并 得 到 了 当时 对 此 方向 并 不 抱 太 大 
硕 望 的 导师 的 高 度 评 价 一 一 “从 以 前 目 我 感觉 良好 
的 优越 感 变 成 了 肚 里 有 有 货 后 的 真正 目 信 ”， 这 标志 
着 我 对 iOS 人 研究 的 正式 入 门 。 明 日 自己 在 做 什么 之 
后 ， 吕 能 有 的 放 矢 ， 人 研究 效率 呈 几 何 倍率 提高 
一 一 在 这 两 年 里 ， 我 科 道 了 Theos 从 而 “勾搭 ?上 了 
作者 DHowett， 向 Activator 的 作者 rpetrich 讨 教 过 问 
题 ， 跟 TheBigBoss 源 的 管理 员 Optimo 发 生 过 争 
执 ， 他 们 是 我 这 一 路 走 来 帮 有 我 解决 实际 问题 最 多 
的 朋友 ; 开发 SMSNinja 的 过 程 中 结识 了 本 书 另 一 
作者 航 可 ， 在 不 断 深入 研究 的 同时 认识 了 一 票 做 
Mit DS RNa, BRA CHAM 
一 一 我 们 孤胆 ， 我 们 并 肩 。 


在 本 书 即将 出 版 的 时 候 回 望 这 5 年 ， 我 不 蔡 庆 
牌 目 己 当 初 的 选择 是 正确 的 。 在 i0S 方 同 5 年 的 积 
淀 惑 足够 出 一 本 书 ， 这 在 Windows 方 癌 是 不 可 想 
象 的 ， 而 Apple、Google 和 Microsoft 三 大 巨头 的 不 
断 发 力 和 市 场 反 人 馈 也 直接 证 明了 这 个 行业 一 定 会 
是 下 一 个 互联 网 十 年 的 绝对 主角 ， 能 够 亲眼 见证 
HBR, RESE MER, DMR 
敢 ， 所 以 ， 少 年 ， 不 要 犹豫 了 ， 快 到 碗 里 来 吧 ! 


在 受到 航 可 的 邀请 写作 本 书 时 ， 我 是 有 些 狐 
表 的 。 中 国人 口 众 多 ， 各 行 各 业 苋 争 部 很 油 烈 ， 
BOE THAZ SEH, BÉ TNS FRA ITUR 
出 的 这 些 知 识 ， 一 股 脑 儿 全 都 区 代 出 去 了 ， 会 不 
会 有 意 无 意 地 培养 出 更 多 “融和 争 对 于 ?”? 这 么 做 是 
不 古 把 目 己 的 优势 拱手 相让 了 ? 但 是 纵 观 越 狐 iOS 


的 发 展 历史 ， 从 基本 的 Cydia 和 CydiaSubstrate， 到 
Theos 这 样 的 开发 利 萝 ， 下 到 Activator 这 样 的 神 级 
插件 ， 这 些 对 我 影响 最 为 深远 的 软件 无 一 不 是 开 
源 的 ， 正 是 因为 这 些 大 牛 分 享 了 目 己 的 “优势 ”， 

我 才能 博 采 从 长、 还 潮 成 长 ，rpetrich 亩 类 的 
tweakweek fil posixninjaZ= 3. Hopenjailbreak tt 853 
EMAJN WERAK T, ikea eBa 
ROSE SAE o ff cT PER BY 
线 开发 者 ， 他 们 的 优势 完全 没有 因为 “分 对 ”而 减 
meda PS it TINT ERA, CRABB 
EMARE ELMI, Gx 
呢 ? 况且 ， 我 是 打算 在 这 条 路 上 继续 求索 的 ， 如 
果 我 不 集 下 ， 我 的 优势 束 会 一 直 傈 持 一 一 我 的 苋 
搜 对 手 只 有 我 目 己 。 相 信 我们 的 分 圣 会 帮 到 很 多 
和 当年 的 我 一 样 在 门 外 否 天 徘徊 的 开发 者 ， 集 大 


家 智慧 创造 出 的 作品 能 够 更 好 地 让 科技 服务 于 
人 ， 而 且 我 也 能 结交 更 多 志同道合 的 朋友 ， 精 神 
生活 得 到 更 大 满足 。 这 也 聊 可 算 作 是 从 长 计 议 
吧 。 


MSMR HU Ix, HEB, BUE 
是 我 对 待 科学 技术 的 态度 。 本 书 的 内 容 适 合 国 内 
绝 大 多 数 不 满 足 于 折腾 App Store 的 iD0S 爱 好 者 ， 
通 篇 干货 ， 董 粤 无 其 ， 比 我 的 硕士 毕业 论文 要 实 
在 得 多 。 更 多 后 续 的 内 容 ， 还 请 关注 本 书 的 官方 
论坛 http:/Wbbs.iosre.com 和 官方 微 博 @iOS 应 用 逆 加 
工程 。 让 我 们 一 起 提升 中 国 iOS 开 发 者 在 国际 上 的 
地 位 ! 


在 这 里 ， 我 要 感谢 母亲 对 我 事业 的 全 力 文 
持 ， 便 我 在 外 全 学 术 之 时 能 尽 可 能 少 地 因 琐事 分 


Ò o SER THU BS ANB ae. Re 
素养 是 跟 国 际 同行 交流 的 必要 条 件 ;， 感 谢 我 的 导 
师 授 我 以 渔 ， 让 我 在 硕士 3 年 经 历 脱胎 换 骨 的 成 
K; 感谢 DHowett、rpetrich 和 Optimo 等 大 牛 对 我 
的 无 私 帮 助 和 尖锐 批评 ， 让 我 在 快速 成 长 的 同时 
WAS ZIBB AK, ABU; RR ` 
flyingbird ` INT80 ` jerryxjtu ^ Jil] 2: f& ` Proteas 
SENAP REALE EC, ADT Bak T IA 
WAR: 感谢 我 的 家 人 和 朋友 们 ， 你 们 的 支持 与 
长 励 是 我 前 进 下 去 的 不 奖 动 力 ;， 还 要 感谢 我 未 来 
的 女 朋友 ， 你 的 缺席 让 能 我 一 心 一 意 地 学 习 知 
识 ， 本 书稿 费 啊 有 我 的 一 半 也 有 你 的 一 半 。 事 
My. 5 ZRTS ACT ^ 2ETR SE Sr AL ABS FRE EDK, 
但 往往 只 能 求 二 争 三 ， 不 可 四 者 兼 得 ， 因 为 这 个 


JEN TUR > TORRE ^ 伤害 过 的 人 ， 我 欠 你 们 
一 声 “ 对 不 起 ”感谢 你 们 对 我 的 成 全 。 


最 后 跟 大 家 分 至 一 自我 言 爱 的 证， 啊 ， 人 


多 么 奇妙 。 


SE 


.*— 


REL E 


7 BFE FS re 
HAIRED AREK, 
BY THERA Be TAA 2 Uy XE. 
我 在 那 路 口 久 久 位 立 ， 
我 回春 一 条 路 极目 望 去 ， 
直到 它 消 失 在 从 林 深 处 。 


但 我 却 迁 了 为 外 一 条 路 ， 
EMER, T DB 


TERA ` EEN, 
虽然 在 这 两 条 小 路 上 ， 
都 很 少 留 下 旅人 的 足迹 。 


虽然 那天 清晨 落叶 满 地 ， 

两 条 路 都 未 见 脚印 猴 迹 。 
呵 ， 留 下 一 条 路 等 改 日 再 见 | 
[HTC REGEL (6 EAR 7L RK, 
"e IH dete DA B RB e 


也 许多 少年 后 在 某 个 地 方 ， 
我 将 轻声 叹 居 把 往事 回顾 : 
一 片 树林 里 分 出 两 条 路 ， 

而 我 选 了 人 迹 更 少 的 一 条 ， 
从 此 决定 了 我 一 生 的 道路 。 


GE DAE 20 Be LA ER SCORES: > THERE 
ABE) 


VEL (snakeninny) 


[1] Robert Frost (1874—1963) , 201820 SS Eel de 
XO Bg FA Z ` DORE AIK EHE 
代表 诗作 ， 原 题 为 “The Road Not Taken" ° A 
TEYE 


Eli 


HJ E 


为 什么 要 写 这 本 书 


两 年 前 我 正式 从 传统 网 络 设备 行业 转行 进入 
移动 互联 网 行业 ， 当 时 正 是 移动 应 用 开发 市 场 最 
火爆 的 时 候 ， 创 业 公司 如 雨后春笋 般 的 成 立 ， 励 
其 社交 类 App 更 是 大 受 追 拱 ， 只 要 有 一 个 不 错 的 
构想 就 可 能 拿 到 千 万 级 投资 ， 高价 控 人 组 队 的 信 
居 更 是 让 人 眼花 综 乱 。 那 时 我 已 经 开发 了 几 个 颇 
具 难 度 的 企业 应 用 类 App， 对 于 那些 轻 量 级 的 普 
通 社交 App 不 是 太 看 得 上 ， 想 着 要 玩 点 比较 酷 的 
技术 ， 机 缘 巧合 进入 了 安全 管家 (北京 安 管 佳 科 
技 有 限 公 司 ) ， 从 零 开 始 搭建 i0S 团 队 ， 负 责 包 括 
越狱 方 同 在 内 的 OS 开发。 


RESCIOSIBUVUT A E) ERU LOS 32 [8] LE, 
那个 时 候 我 并 没有 这 方面 的 经 验 ， 面 加 的 是 一 个 
完全 未 知 的 领域 ， 不 过 好 在 有 Google， 国 内 国外 
的 信息 多 少 还 是 能 够 搜 到 点 ， 而 且 对 于 iOS 开 发 
者 ， 越 狱 开 发 和 逆 回 工程 并 不 是 一 个 完全 隔离 的 
EF, BENT S UEBER AE HIR: ZEE I 
度 很 高 的 知识 ， 但 是 只 要 投入 大 量 精力 ， 把 知识 
归纳 总 结 ， 慢 慢 可 以 整理 出 一 幅 完 整 的 图 谱 。 


PATO AAS ANS ETRY, Toe 
38 D, READ AAC A AC it, LA RFR REX 
NAH PATA HY, Boek. 要 是 有 
一 个 水 平 不 错 的 交流 者 该 是 多 么 幸福 ? 虽然 也 可 
以 给 Ryan Petrich 等 一 线 大 午 发 邮件 请 教 ， 但 很 多 
在 我 们 看 来 当时 解决 不 了 的 难题 在 这 类 噩 手 服 中 


{RAT Beo MR Ae, NED FED M BRAS 
好 意思 去 问 。 这 个 阶段 大 概 持续 了 有 大 半年 ， 直 
到 2012 年 在 微 博 上 过 到 本 书 的 男 一 作者 
snakeninny， 那 时 他 还 是 一 个 面临 毕业 的 人 研究生 ， 
整 天 “不 务 正业 ”地 研究 OS 底层 ， 而 且 人 研究 得 还 相 
当 有 深度 。 我 兽 和 他 提 过 : “你 看 ， 有 和 多少 人 都 投 
入 到 App 领 域 搞 钱 去 了 ， 你 咋 不 去 呢 ? ”他 

说 :“ 训 的 目标 远大 ， 要 玩 残 蔓 厦 国际 一 线 大 午 的 
目标 去 ! ”小 兄弟 ， 你 够 狠 


NS, SRR Ae BOE, Foe 
俩 尔 在 网 上 交流 一 下 问题 及 解决 方法 ， 但 往往 能 
万 挤 出 一 些 有 价值 的 内 容 。 在 一 起 合 写本 书 之 
前 ， 我 们 曾经 合作 逆 癌 分 析 过 并 阳 ， 做 了 一 个 捅 
件 用 于 在 阳 阳 i0S 版 上 把 美文 的 位 置 标注 在 地 


E SAB abe RTT ACE, SEDI Mis 
ai SPARS, eR RRB T o kK, B] 
HASEF, KOSI [A] RT Tl AANA ERR HB RI , 


SINGS MIE ° 


FE FRAO TE AL ^ ETEA, A 
ROL KA BOR ie Appt, EEPE 
丁 解 牛 的 眼光 去 审视 : App 如 何 构成 、 性 能 如 
何 ， 可 以 直接 反映 出 开发 团队 水 平 高低 。 这 些 经 
痊 知 识 不 仅 可 用 于 越 狼 开发 ， 也 适用 于 传统 的 
App 开 发 ， 人 至 于 市 来 的 影响 ， 有 正 有 人 负 吧 ! 我 们 
不 能 因为 笠 采 不 提倡 越狱 吏 否 定 这 个 领域 的 存 
在 ， 盲 目地 相信 本 书 曝光 的 安全 问题 不 存在 不 过 
ete RRA T° 


有 经 验 的 开发 首部 明日 ， 知 识 擎 握 得 越 深 ， 
越 会 接触 到 压 层 技术 。 比 如 sandbox 保 护 机制 具 体 
体现 在 哪些 方面 ? runtime 只 用 来 研究 理论 知识 是 
不 古 有 点 大 材 小 用 了 ? 


在 Android 领 域 ， 压 层 技术 已 经 被 扩散 开 ， 而 
在 iOS 领 域 ， 这 个 方向 展现 出 来 的 内 容 还 只 是 冰山 
一 角 。 昌 然 国 外 也 有 几 本 iOS 安 全 方向 的 书籍 ， 比 
如 《Hacking and Securing iOS Applications) ^ 
«iOS Hacker's Handbook) , (BANA AME, 24 
大 多 数 人 根本 读 不 懂 ， 即 使 我 们 这 些 有 一 定 经 验 
的 开发 者 ， 读 这 些 书 也 非常 吃力 ， 效 果 不 好 。 


阳春 日 雪 不 为 我 们 这 些 品 欢 实 践 的 拉 术 宅 所 
Wf, BDBAGEGSOBREELABJ, PEREI, ED 
ATE REJT CESAR SNe RUBUS Teme Y 3x 


们 这 本 书 ， 书 中 的 内 容 以 概念 、 工 具 、 理 论 、 实 
战 的 形式 全 面 、 系 统 地 展开 知识 后， 由 浅 入 深 ， 
图 文 并 成， 市 看 读 首 一 步 步 地 探 系 App 的 内 在 。 
我 们 不 会 像 一 些 技 术 博 客 那 样 狗 似 很 融 深 地 独立 
分 析 菏 一 片段 的 代码 ， 也 不 纠结 “ 画 ” 字 有 儿 种 写 
法 ， 而 是 尽 我 们 所 能 将 一 个 完整 的 知识 体系 硅 现 
给 读者 ， 提 供 一 整套 iOS 应 用 逆向 工程 的 方法 论 ， 
相信 读者 一 定 会 有 所 收获 。 


近 些 年 ， 国 内 投入 在 越狱 iOS 这 个 方向 的 人 越 
来 越 多 ， 但 都 比较 低调 ， 他 们 开发 出 的 越狱 工 
具 、App 助 手 、Cydia 插 件 影响 着 整个 1OS 的 发 
展 。 他 们 积累 的 技术 非 我 们 这 些 散 兵 游 勇 所 能 
及 ， 但 我 们 更 愿意 分 享 这 些 知 识 ， 和 希望 能 够 抛 夸 
引 玉 。 


读者 对 象 
本 书 主要 面 癌 以 下 读者 : 
-10S 狂热 安 好 首 。 


-中 高 级 iOS 开 发 人 员 。 他 们 在 掌握 了 App 开 发 
之 后 对 iOS 有 有 更深 的 淘 求 。 


-架构 师 。 在 逆 同 App 的 整个 过 程 中 ， 架 构 师 
能 学 习 那 些 优秀 App 的 架构 设计 ， 以 这 种 方式 博 
ZNAK, ER HERIT EJ ° 


:在 别 的 系统 上 从 事 逆 加 工程 ， 想 要 转 网 iOS 
逻 同 工程 的 工程 师 。 


AT RT Pr SEAN 


本 书 将 分 为 四 大 部 分 ， 分 别 是 概念 、 工 具 、 
理论 和 实战 。 前 三 部 分 介绍 iOS 逆 向 工程 这 个 领域 
的 背景 、 知 识 体系 ， 以 及 相应 的 工具 集 、 理 论 知 
Wi; 第 四 部 分 则 以 4 个 具体 案例 将 前 面 的 知识 以 实 
战 的 方式 展开 ， 让 读者 可 以 实践 验证 前 面 学 到 的 
知识 ， 加 深 对 i0S 逆 向 工程 的 理解 。 


如 有 果 读 者 不 具备 iOS 刻 向 工程 经 验 ， 建 议 还 是 
从 头 开始 按 顺序 阅读 ， 而 不 要 直接 跨越 到 第 四 部 
分 去 模拟 实战 。 虽 然 实战 的 成 果 很 炫 ， 但 知 其 然 
而 不 知 其 所 以 然 也 没意思 ， 对 不 对 ? 


IRAN SC HF 


由 于 作者 的 水 平 有 限 ， 编 写 的 时 间 也 很 仓 
促 ， 书 中 难免 会 出 现 一 些 蚀 误 或 者 不 准确 的 地 


Jj, HiBHILEESRIE, XOU IRD-BBS E 7116 
EInhttp:;//bbs.iosre.com, 4&SKHJ1OS3/ [n] L fm dE 
这 里 聚集 ， 你 的 问题 应 该 会 得 到 满意 的 解答 。 如 
末 你 有 更 多 的 至 贯 意见 ， 也 欢迎 你 通过 微 博 CiOS 
应 用 逆 同 工程 或 官方 论坛 与 我 们 联系 ， 我 们 很 期 
FREIS UT SITE TES] SS it © 


致谢 


百 匈 要 感谢 evad3rs、 盘 主 、 太 极 、saurik 等 顶 
级 团队 与 高 手 ， 他 们 葛 定 了 越狱 OS 的 基石 ， 还 要 
感谢 DHowett， 是 他 提供 了 Theos 这 个 强大 的 开发 
工具 使 我 得 以 迈进 i0S 逆 向 工程 的 大 门 。 


ESE EAR, Not iOS m LE alte 
供 了 一 个 充分 发 挥 的 环境 ， 虽 然 我 早已 离开 ， 但 


dn ERE AC REG EU 。 


感谢 微 博 上 每 一 位 热心 的 朋友 一 -一 唐 巧 
boy ^ F HHE ` RAE FLH Ei. » isdada ^ Jagie ^ 
onevcat ^ ERE ^ $*VUFISH ^ xuzhanji ` Life7E7Z: 
Debug ^ 425/]JT RME ^ HorseLuke ^ WAAT ` 
hongjiang wang ^ HZ #248 ` StayNStay ^ bluesea 
险 哈哈 、 郑 州 ITOS、 青 年 土豆 的 烦恼 、 木 土 襄 
吉 ， 以 及 这 个 仓促 写 束 的 名 单 之 外 的 更 多 朋友 ， 
感谢 你 们 对 我 鸭 文 持 和 发 励 。 符 地 感谢 唐 巧 _boy 
的 引荐 ， 他 的 热心 帮助 促成 了 本 书 的 出 版 。 


感谢 机 械 工业 出 版 社 华 划 公 司 的 编辑 杨 绣 国 
老师 ， 感 澳 她 的 上 蜡 力 和 远见 ， 在 这 三 个 月 的 时 间 
里 始终 文 持 我 的 写作 ， 她 的 指点 和 硕 助 引 导 我 们 
顺利 完成 全 部 书稿 。 


iE CALS ZA RANA, UKRE IA 
爱 iOS 开 发 的 朋友 们 。 


吴 航 (hangcom2010) 


第 一 部 分 “概念 篇 
.第 1 章 iOS 赣 向 工程 简介 
.第 2 章 ”越狱 i0S 平 台 简 介 


软件 堵 癌 工程 ， 指 的 是 通过 分 析 一 个 程序 或 
系统 的 功能 、 结 构 或 行为 ， 将 它 的 技术 实现 或 设 
计 细 市 推导 出 来 的 过 程 。 当 我 们 对 一 个 软件 的 功 
能 很 感 兴趣 ， 却 又 拿 不 到 它 的 产 代 码 时 ， 往 往 可 
以 通过 逆 同 工程 的 方式 对 它 进行 分 析 。 


对 于 iOS 开 发 痢 来 训 ， 运 行 在 OS 上 的 各 种 软 
件 是 我 们 知晓 的 最 复杂 且 超 奇妙 的 虚拟 物品 之 
一 ， 它 们 精巧 而 细致 ， 新 颖 且 创 意 十 足 。 作 为 开 
发 者 ， 在 看 到 一 些 精美 的 App， 惊 叹 于 它 的 实现 


之 外 ， 也 一 定 会 好 奇 ， 在 优雅 的 外 表 下 ， 它 们 采 
用 了 何 种 技术 ? 我 们 能 否 从 中 学 到 些 什么 ? 


第 1 章 iOS 逆 向 工程 简介 
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虽然 我 们 拿 不 到 别人 App 的 源码 和 文档 ， 但 仍 可 
DA 3g y 395 [8] TEER S25 e 
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iOS3 [A] LETS TERUEL EITE [8] 47 

析 的 一 个 过 程 。 读 者 如 采 想 要 具备 较 强 的 iDS 逆 回 
工程 能 力 ， 最 好 能 非常 熟悉 iOS 设 备 的 硬件 构成 、 
iOS 系 统 的 运行 原理 ， 还 要 具备 丰 宦 的 OS 开发 经 
验 。 如 果 你 拿 到 任意 一 个 App 之 后 能 够 大 致 推断 
出 它 的 项 目 规模 和 使 用 的 技术 ， 比 如 它 的 MVC 

(Model-View-Controller， 请 Google“iOS MVC") 
檬 型 是 怎么 建立 的 ， 引 用 了 哪些 framework 和 经 典 
的 开源 代码 ， 说 明 你 的 OS 逆向 工程 能 力 已 经 不 容 
LT ° 


这 要 求 高 吗 ? FRAKA E! 不 过 ， 这 些 
条 件 痢 生 充 分 非 必要 的 。 如 打 你 目前 还 不 具备 这 


些 到 分 条 件 ， 那 么 一 定 要 满足 两 个 必要 条 件 : UR 
烈 时 好 奇 心 和 铬 而 不 售 的 精神 。 因 为 在 iOS 逆 同 工 
程 中 ， 好 可 心 会 驱动 你 去 人 研究 经 典 的 App， 而 在 

人 研究 的 过 程 中 一 定 会 下 到 一 系列 的 困难 和 障碍 ， 

但 你 驻 不 可 能 对 任何 问题 都 胸 有 成 体 ， 所 以 这 时 
BL aa el PR MD AN IT POR SCE ot RS 
个 困难 。 请 相信 ， 在 投入 大 量 精力 去 编写 代码 、 

调试 程序 、 分 析 逻 辑 之 后 ， 你 会 在 不 断 的 试验 和 
错误 中 感受 到 逆 同 工程 的 艺术 之 美 ， 你 的 个 人 能 
AH tel RAGE ° 


1.2 iOSN F3 [8] LEENH 
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刺 破 App 看 似 安全 的 防护 盾 。 有 趣 的 是 ， 很 多 制 
作 App 的 公司 还 没有 意识 到 这 样 一 杆 长 矛 的 存 
fe, El ASDA BR CASE AGT o 


对 于 微 信和 WhatsApp 之 类 的 IM 应 用 ， 交 流 的 
童 刀 是 它 们 的 核心 ;对 于 银行 、 文 付 、 电 商 类 的 
软件 ， 交 易 数 据 和 客户 信息 是 它们 的 核心 。 所 有 
的 核心 数据 者 是 需要 重点 傈 护 的 ， 于 是 ， 开 发 人 
员 通 过 反 调 试 、 数 据 加 密 、 代 人 码 混 清 等 各 种 手段 
EERI H App, AAR ete UIS [8] LEER 
度 ， 避 人 免 类 似 的 安全 问题 影响 用 户 体验 。 


可 十 目 表 App 防护 所 用 到 的 技术 跟 iOS 凶 癌 工 
程 所 使 用 的 技术 根本 束 不 古 同 一 个 维度 的 。 一 上 般 
的 App 防 护 ， 感 觉 吏 像 是 一 个 城堡 ， 将 App 的 
MVC 布 置 在 城堡 内 部 ， 外 围 轿 上 厚 厚 的 城墙 ， 看 
上 去 易 守 难 攻 ， 束 像 图 1-1 所 示 的 这 样 。 


^) % 


图 1-1 防御 良好 的 城堡 (图片 来 自 刺客 信条 ) 


BESRA, ERTE SAXA 
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如 图 1-2 所 示 。 


图 1-2 SMERE “图片 来 自 刺 客 信条 


iU, Pr&BjObjective-CER ZI XE X. ^ PH BS 
property、 所 有 的 导出 函 效 、 所 有 的 全 局 变量 、 所 
AE Se sc Ee ee TEA, oe TR 
BALF ° NbXEXUT TIERE, tide OA eB 
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找到 想 要 找 的 那 一 个 人 。 


此 时 ， 基 于 iOS 逆 癌 工 程 技 术 ， 可 以 在 不 破坏 
城墙 的 前 提 下 ， 选 择 任 意 高 维度 地 点 进入 低 维度 
城堡 ， 巧 取 而 不 强 夺 ， 通 过 监视 甚至 改变 App 的 
运行 逻辑 ， 从 而 达到 获取 核心 信息 ， 了 解 软 件 设 
计 原 理 等 战术 目的 。 


说 得 似乎 很 辫 乎 ， 可 事实 吏 是 如 此 。 束 笔者 
数 年 来 对 App 和 iOS 系 统 本 号 进行 刻 癌 工程 的 经 历 
和 成 来 来 看 ，iOS 应 用 好 癌 工 程 可 以 “透视 ” 绝 大 多 
数 App， 它 们 的 设计 理念 与 实现 细 市 在 逆 同 工程 
中 骏 露 无 遗 。 


以 上 比 输 只 征 iO0S 壕 问 工 程 的 一 隅 之 见 ， 但 也 
形象 地 说 明了 iOS 逆 同 工 程 的 强大 威力 。 概 括 起 
X, OSEH LEE AMER: 


-分析 目 标 程 序 ， 拿 到 关键 信息 ， 可 以 归 类 于 
安全 相关 的 人 逆 同 工程 ; 


:借鉴 他 人 的 程序 功能 来 开发 目 己 的 软件 ， 可 
PYAR FH AHA ATE H TRE ° 


1.2.1 BEAK AIOSM [u] TL RE 


ERA RAITT LIRA A BIS HS [8] TT 
技术 。 比 如 : ie a] —~S<e RSS App, REE 
安全 等 级 ; 通过 逆向 iDOS 病 毒 ， 来 找到 查 杀 的 方 
YE; 通过 逆向 iOS 系 统 电话 、 短 信 功 能 ， 来 构建 一 
个 手机 防火 墙 ， 等 等 。 


1. 评 定安 全 等 级 


iOS PIER A Ly AREA pp— Ae FEIN 2 
BE, PSS R aL AN FATE AS He BHI OM 
络 传输 。 如 条 安 全 意识 不 够 强 ， 束 完全 有 可 能 将 
敏感 信息 (如 银行 账号 和 密码 直接 用 明文 保存 
或 传输 ， 安 全 隐患 极 大 。 


假如 一 家 有 名望 的 公司 考虑 推出 一 称 App， 
为 了 计 App 的 质量 能 够 对 得 起 公司 的 声誉 和 用 户 
的 信任 ， 该 公司 聘请 一 家 安全 机 构 来 评估 这 个 
App 的 安全 性 。 绝 大 多 数 情 况 下 ， 安 全 机 构 无 法 
拿 天 App 的 源 代 码 ， 不 能 通过 代码 审核 的 方式 下 
问 分 机 App 的 安全 性 ， 因 此 ， 他 们 只 有 利用 iDOS 逆 
器 工程 技术 ， 笑 试 “ 攻 击 ” 这 个 App， 然 后 依据 结 


iOS 是 智能 移动 终端 操作 系统 ， 它 同 计算 机 操 
作 系 统 没 有 本 质 区 别 。 从 第 一 代 开 始 ， 它 就 已 具 
备 了 上 网 功能 ， 而 互联 网 正 是 恶意 软件 传播 的 最 
好 媒介 。2009 年 暴露 的 Ikee 病 毒 是 IOS 上 公开 的 第 
一 款 蠕虫 病毒 ， 它 会 感染 那些 已 经 越狱 并 且 安 效 
了 了 ssh 服务， 但 是 没有 更 改 ssh 默 认 密 码 “alpine” 的 
i0S， 将 它们 的 锁 屏 背景 图 改 成 一 个 英国 歌手 的 照 
片 。2014 年 年 底 出 现 的 WireLurker 病 毒 会 窃取 用 
户 隐 私信 息 ， 并 且 可 以 通过 PC 和 Mac 传 播 ， 给 iOS 
用 户 带 来 了 比较 严重 的 危害 。 


对 于 恶意 软件 的 开发 者 来 讽 ， 他 们 通过 逆 辐 
工程 定位 系统 和 软件 漏洞 ， 利 用 漏洞 渗透 进 目 标 
主机 ， 获 取 数 据 ， 为 所 欲 为 。 
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感染 主机 上 的 病毒 ， 并 总 结 出 可 以 防范 病毒 的 方 


法 。 


开源 软件 的 一 大 优势 是 其 只 有 较 好 的 安全 
性 。 成 二 上 万 的 程序 员 浏 哆 并 修改 开源 软件 的 代 
码 ， 代 码 中 几乎 不 可 能 存在 任何 后 门 ， 软 件 的 安 
全 问题 往往 在 大 日 于 天 下 之 前 驶 能 及 时 得 到 解 
Ke TOIT AVE, WA De eee ee A 
有 后 门 的 主要 方法 之 一 。 比 如 我 们 常会 在 越狱 iOS 
中 通过 AppStore 以 外 的 渠道 安装 各 种 软件 ， 这 些 
软件 未 经 蔷 果 官方 审核 ， 和 存在 一 定安 全 隐患 ， 还 
有 的 App 会 故意 留 有 后 | ]， 何 机 损害 用 户 的 利 


年 。 对 这 一 类 行为 进行 检测 的 过 程 中 通常 少不了 
i [A] LIENA © 


4. 去 除 软件 使 用 限制 


iOS 开 发 者 通过 AppStore 或 Cydia 等 渠道 出 售 
目 己 的 App， 作 为 他 们 最 主要 的 经 济 来 源 之 一 。 

在 软件 的 世界 里 ， 收 费 与 盗版 永远 是 共存 的 ,不 
少 开 发 者 也 在 自己 的 App 里 加 入 了 防止 盗版 的 功 
能 。 但 这 场 巴 与 盾 的 战争 永远 不 会 停止 ， 再 好 的 
防御 也 会 有 人 被 攻破 的 一 天 ， 盗 版 软件 的 层出不穷 
把 防止 盗版 变 成 了 一 项 不 可 能 完成 的 任务 。 比 如 
Cydia 上 最 知名 的 “ 共 旱 ” 源 xsellize 能 够 在 几乎 所 有 
收费 软件 发 布 后 的 1 天 时 间 内 对 其 完成 破解 ， 是 业 
ZB — Keele ° 
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目 己 的 App 里 使 用 一 些 文档 中 没有 所 及 的 私有 功 
能 ， 还 可 以 逆 同 一 些 经 典 软件 ， 学 习 借 八 它 们 的 


技术 和 设计 e 
1H! [A] ABLAPI 


工程 师 编写 的 软件 之 所 以 能 够 运行 在 操作 系 
统 中 ， 提 供 各 种 各 样 的 功能 ， 是 因为 控 作 系统 
CAA te TiRED ge, PART EN 
AGE So APPAR, BETEApp Store LAER App 
的 功能 十 分 有 限 ， 在 笠 末 公司 产 格 的 审核 制度 
下 ， 绝 大 多 数 App 的 实现 都 源 于 公开 的 开发 文 


档 ， 而 不 能 使 用 诺 如 发 短信、 打 电 话 等 文档 中 不 
涉及 的 功能 。 如 条 你 的 软件 面 同 Cydia， 那 么 个 采 
用 非 公 开 功 能 将 会 导致 软件 起 失 极 大 的 葛 争 力 。 
如 琳 你 的 软件 想 拥 有 文档 里 没有 提 太 的 非 公开 功 
能 ， 最 有 效 的 途径 吏 征 迎 丫 iDS 系 统 API， 还 原 系 
统 实现 相应 功能 的 代码 ， 并 应 用 到 目 己 的 软件 

H o 


2. 代 鉴别 的 软件 


3 [5] LE SC OLA ISE E i ae “te ee 
人 的 软件 功能 。 对 于 App Store 上 的 大 多 数 App 来 
说 ， 其 技术 实现 并 不 复杂 ， 巧 妙 的 创意 和 民 好 的 
SEAT eH AAW RE e WDR A ee Bale RA 
B6. ALARA) LIOR IS, BAS BT, 
性 价 比 低 ， 不 如 从 头 开 发 一 个 功能 闫 似 的 软件 省 


时 省 力 ， 性 价 比 高 。 但 是 ， 当 我 们 不 知道 App 中 
的 某 个 功能 是 如 何 实现 的 时 候 ， 逆 疝 工 程 就 能 起 
到 关键 性 的 作用 。 这 种 情况 在 大 量 使 用 私有 函数 
的 Cydia 软 件 中 元 其 音 见 ， 比 如 2013 年 3 月 面世 
的 ， 号 称 iOS 上 第 一 款 通 话 永 音 软件 的 Audio 
Recorder， 它 是 财源 软件 ， 但 足够 有 趣 ， 此 时 使 
Hios% m LIERNA A E T RESZ o 


HECENUTBIAISSY SIS, [VIL EON 
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技术 ， 却 又 求学 无 [| ]。 在 这 种 情况 下 ， 逆 癌 工 程 
WL EHR IR] RA] Se peo ^ TT IAS EAE, n] 
以 从 App 中 把 它们 的 设计 思路 抽象 出 来 为 我 所 
用 ， 从 而 提高 自己 App 的 精致 程度 。 比 如 ， 


WhatsApp 的 稳定 性 、 健 壮 性 出 类 拔 鞭 ， 如 果 我 们 
目 己 要 编写 一 个 IM 类 App， 通 过 逆 回 工程 技术 学 
习 WhatsApp 的 整体 架构 与 设计 思路 将 是 非常 有 和 花 
的 。 


1.3 iOS R3 qu] LRN 
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一 般 来 说 ， 软 件 逆向 工程 可 以 看 作 系 统 分 析 
和 代码 分 析 两 个 阶段 的 有 机 结合 。 在 系统 分 析 阶 
段 ， 要 从 整体 上 观察 目标 程序 的 行为 特征 、 文 件 
的 组 织 染 构 ， 从 而 找到 我 们 感 兴趣 的 地 方 ， 进 入 
代码 分 析 阶 段 后 ， 则 要 把 软件 的 核心 代码 还 原 出 
来 ， 最 终 达到 我 们 的 目的 。 


1.3.1 系统 分 析 


在 系统 分 析 阶 段 ， 应 在 不 同 的 条 件 下 运行 目 
标 程 序 ， 在 程序 中 进行 各 种 各 样 的 操作 ， 观 罕 程 
序 的 行为 特征 ， 同 时 寻找 我 们 感 兴 趣 的 功能 点 。 
比如 选择 哪个 选项 会 弹 框 ， 按 下 哪个 按钮 会 发 
声 ， 输 入 什么 内 容 屏 峰会 有 什么 显示 ， 等 等 。 还 
可 以 浏览 文件 系统 ， 观 察 程序 显示 的 图 片 、 程 序 
的 配置 文件 存放 的 位 置 ， 数 据 库 文件 中 存放 了 哪 
些 信息 ， 有 没有 加 密 等 特征 。 


AIRM App RKM, RIERREN 
Documents 目 条 时 ， 会 看 到 如 下 一 些 数 据 库 文件 : 


-rw-r--r-- 1 mobile mobile 210944 Oct 26 11:34 
db 46100 1001482703473.dat 

-rw-r--r-- 1 mobile mobile 106496 Nov 16 15:31 
db 46500 1001607406324.dat 

-rw-r--r-- 1 mobile mobile 630784 Nov 28 00:43 
db 46500 3414827754.dat 

-rw-r--r-- 1 mobile mobile 6078464 Dec 6 12:09 
db 46600 1172536511.dat 


用 SQLite 工 具 打 开 它 们 ， 可 以 看 到 一 些微 博 
关注 信息 ， 如 图 1-3 所 示 。 


这 样 的 信息 给 逆 同 工程 所 供 了 很 多 线 系 : 数 
据 库 文件 名 、 微 博 用 户 的 ID， 用 户 信 息 对 应 的 
URLS, AEA LME NE H CIENIA o F 
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+E GAGA-Lin http://tp3.sinaimg.cn/1807621622/50/5700356795/0 
MBAR EM http://tp4.sinaimg.cn/1497487043/50/1297238551/1 
Angela 48:5 http://tp1.sinaimg.cn/2835121504/50/5664550946/0 
*kRFreya http://tp2.sinaimg.cn/1744390777/50/40053380567/0 
EDCA RK http://tp3.sinaimg.cn/2875568950/50/40001989049/1 
MEX http: //tp3.sinaimg.cn/1565668374/50/5703348848/1 


mig Scheerego http:/ /tp4.sinaimg.cn/3962782795/50/40043044497/0 
许 哲 候 PeggyHsu http: / /tp4.sinaimg.cn/1283498527/50/40054968787/0 
Whicy http://tp2.sinaimg.cn/1198922365/50/5635147308/0 
Dawenz Xx http://tp3.sinaimg.cn/2270268414/50/5705504906/1 
Mrdadado$& z^ http: //tpl.sinaimg.cn/1787113000/50/5602434900/1 
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图 1-3 SRA IA fe I 


1.3.2 ”代码 分 析 


完成 系统 分 析 之 后 ， 束 该 对 App 的 二 进 制 文 
件 进行 代码 分 析 了 。 


通过 敢 同 工程 ， 可 以 推导 出 这 个 App 的 设计 
思路 、 内 部 算法 和 实现 细节 ， 但 这 是 一 个 非常 复 
杂 的 过 程 ， 可 以 说 是 一 种 解构 再 重组 的 乞 术 。 想 
让 自己 的 逆向 工程 水 平 达到 艺术 的 高 度 ， 需 要 对 
软件 开发 、 硬 件 原理 和 iOS 系 统 有 透彻 的 理解 。 一 
氮 一 点 地 分 析 程 序 的 底层 指令 绝 非 易 事 ， 也 不 是 
一 本 书 能 够 完全 阐述 清楚 的 。 


本 书 的 目标 仅仅 古 辣 初 学 着 讲述 iOS 逆 同 工 程 
入 门 时 所 用 到 的 工具 和 一 般 思 路 ， 但 技术 是 不 断 
发 展 的 ， 书 中 的 内 容 不 可 能 履 雷 所 有 的 知识 氮 。 
出 于 这 个 考虑 ， 笔 着 搭建 了 一 个 iD0S 赣 癌 工 程 论 坛 


http://bbs.iosre.com， 供 大 家 讨论 和 交流 最 新 的 技 
术 o 


1.4 iOS Av] Te LA 


了 解 了 一 些 iOS 逆 向 工程 的 理论 ， 就 要 使 用 各 
种 工具 实践 了 这些 理论 了 。 相 对 于 正 加 开发 ， 揽 回 
工程 使 用 的 工具 并 不 那么 <“ 神 能 ”， 很 多 工作 需要 
我 们 手工 完成 。 但 是 对 工具 的 熟练 使 用 能 够 极 大 
地 提高 逆向 工程 的 效率 。iOS 逆 向 工程 的 工具 可 以 
分 为 四 大 类 : 监测 工具 、 反 汇编 工具 

(disassembler) 、 调 试 工具 (debugger) ， 以 及 
开发 工具 。 


1.4.1 监测 工具 


fEIOS3E[H] LEF, ERNMRIR > 监测 、 
标 程序 行为 的 工具 统称 为 监测 工具 。 这 些 工具 通 


常 可 以 记录 并 显示 目标 程序 的 某 些 操作 ， 如 UI 变 
化 、 网 络 活动 、 文 件 访问 等 。iOS 逆 向 常用 的 监测 


工具 有 Reveal、snoop-it、introspy 等 。 


图 1-4 所 呈现 的 是 一 球 监 测 工具 
它 可 以 用 来 实时 监测 目标 App 的 UI 布 局 变化 。 


Reveal, 


* * Notes (FunMaker 5) 


Notes 1.0 
FunMaker 5 (IOS 8.1) 


avigationTrans!! 
v: :UlViewController bbs.iosre.com 
v: :NotesBackgr 


v Notes Text: 


图 1-4 Reveal 


Reveal 能 够 辅助 定位 App 中 我 们 感 兴趣 的 部 
分 ， 让 我 们 能 够 迅速 从 UI 层面 切入 代码 层面 。 


14.2 Kolo LR. 


从 UI 层面 切入 代码 层面 后 ， 束 要 用 到 反 沪 编 
工具 来 梳理 代码 了 。 反 汇编 工具 把 二 进 制 文件 作 
为 输入 ， 经 过 处 理 后 输出 这 个 文件 的 汇编 代码 ; 
在 iOS 敢 同 工 程 中 ， 第 用 的 有 反 汇 编 工 具 主 要 是 IDA 
和 Hopper。 


作为 老牌 反 汇 编 工 具 ，IDA 是 逆向 工程 中 最 
常用 的 利器 之 一 。 它 支持 Windows、Linux、OSX 
平台 和 多 种 处 理 锅 架构 ， 如 图 1-5 所 未。 

Hopper: — aX Jr FA TER Bey LS. EE 
要 针对 的 是 平 果 系 操 作 系 统 ， 如 图 1-6 所 示 。 


把 二 进 制 文件 反 汇编 之 后 ， 束 要 阅读 生成 的 
LII T ° Xk eiOSM A] LE FRADE, the 


最 有 意思 的 部 分 ， 具 体会 在 第 6 草 详 细 讲述 。 本 书 
主要 以 IDA 作 为 反 汇 编 工具 ， 但 我 们 会 在 
http://bbs.iosre.com2< fit Hopper HY) E FA -L 44 ° 


,LR) 
RO, #(:lowerl6:(selRef_processinfo ~ 0x298C)) 
SP 


#(:upperl6:(selRef_processInfo ~ 0x298C)) 
$(classRef NSProcessInfo ~ 0x298E) ; classRef NSProcessInfo 
PC ; selRef processInfo 
PC ; classRef NSProcessInfo 
[RO] ; "processInfo" 
CLASS $ NSProcossInfo 


Rl, é(selRef processName - 0x29A0) ; selRef processName 
R1, PC ; selRef sName 
m ; "processName" 


$selRef isEqualToString - 0x29B4) ; selRef isEqualToString 
#(:lowerl6: (cfstr_Springboard - 0x29BA)) ; "SpringBoard" 
PC ; selRef i ToString 
$(reppoctó: (cfotr. Springboard - 0x29BA)) ; "SpringBoard" 
$ “SpringBoard 
R1 fai) ; "isEqualToString:" 
gSend 


sub 2974: 
0x00002974 (r7, lr) 
0x00002976 r0, #@x3c14 
0x0000297a 
0x0000297c 
0x00002980 
0x00002984 
0x00002988 
0x0e000298a 
0x0000298c 
0x0000298e re, 
0x00002990 imp . symbolstubi  objc msgSend 
0x00002994 rl, #0x3c04 
0x00002998 rl, #0x1 
0x0000299c ri, pc 
rl, [ri] 
imp . symbolstubi  objc msgSend 

#0x3bf4 
0x000029a8 #0x1 
0x000029ac #Ox2ade 
0x000029b0 
0x000029b2 
0x000029b6 
0x000029b8 
0x000029ba 
0x000029be rO, #0xff 
0x000029c2 0x29ce 


图 1-6 Hopper 


14.3 ”调试 工具 


iOS 开 发 痢 对 调试 工具 应 该 不 阳 生 ， 在 App 开 
发 中 ， 少 不 了 在 Xcode 中 调试 代码 。 我 们 可 以 在 
某 一 行 代 码 上 设置 断 点 ， 使 进程 能 够 停止 在 那 一 


行 代 码 上 ， 并 实时 显示 进程 当前 的 状态 。 在 iOS 逆 
向 工程 中 ， 用 到 的 调试 工具 主要 是 LLDB。 图 1-7 
是 使 用 LLDB 进 行 调试 的 示例 。 


snakeninnys-MacBook:~ snakeninny$ lldb 

(lldb) attach Finder 

Process 303 stopped 

Executable module set to "/System/Library/CoreServices/ 


Finder.app/Contents/MacOS/Finder". 
Architecture set to: x86 64-apple-macosx. 
(1ldb) c 

Process 303 resuming 


Él1-7 LLDB 


144 开发 工具 


从 UI 层面 切入 代码 层面 ， 用 有 反 沪 编 工具 和 调 
试 工具 分 析 过 二 进 制 文 件 后 ， 束 可 以 整理 分 析 结 
东 ， 用 开发 工具 写 程序 了 。 对 于 App 开 发 者 来 
说 ，Xcode 是 最 第 用 的 开发 工具 。 但 十 我 们 一 旦 
将 成 场 从 AppStore 转 移 到 越狱 iDS， 开 发 工具 的 种 


类 束 得 到 了 扩充 ， 不 但 有 基于 Xcode 的 
iOSOpenDev, 48 ttt S4THTheos MT AS 
验 来 说 ，Theos 是 让 笔者 最 为 兴奋 的 开发 工具 ， 在 
知道 Theos 之 前 ， 笔 者 感觉 目 己 一 直 都 被 限制 在 
AppStore 中 ， 直 到 掌握 了 Theos 的 用 法 ， 才 突破 了 
AppStore， 完 整地 认识 了 整个 iOS 系 统 。 本 书 主要 
以 Theos 作 为 开发 工具 ， 天 于 iOSOpenDev 的 站 


题 ， 可 以 到 http:/bbs.iosre.com 交 流 讨 论 。 


1.5 ^N 


ZKEUBHÉ l'iOSNL AANLEER, EB 
TELLS iOS! mn LIIS — TUS EKET 
解 。 详 细 的 技术 内 容 和 案例 会 在 后 面 的 章节 中 逐 


HE, BOBBHTE ° 


第 2 章 ”越狱 iOS 平 台 人 简介 


相 较 于 iOS 应 用 的 高 层 表 象 ， 人 们 对 其 底层 实 
现 更 感 兴 趣 ， 这 也 是 大 家 进行 馆 回 工程 的 源 动 
力 。 但 是 我 们 也 都 知道 ， 未 越狱 的 iOS 是 个 封 财 的 
mat, B2llevad3rs ` Ho ` AS AGIOS 
PK ZIG, PRR PARTI, OSE DA 
完整 地 展现 在 我 们 面前 。 


2.1 iOS ZR 


对 于 未 越狱 的 OS， 苹 果 官 方 开放 给 第 三 方 直 
接 访 问 iOS 文 件 系 统 的 接口 非常 有 限 ， 开 发 者 只 需 
要 遵循 规定 ， 参 考 文 档 即 可 完成 工作 。 因 此 ， 纯 
MEW App Store 开 发 者 可 能 对 iOS 系 统 结 构 一 无 所 
知 。 


因为 权限 极 低 ， 来 目 App Store 的 普通 App 
(以 下 简称 StoreApp) 不 能 访问 自身 目录 以 外 的 
绝 大 多 数 文件 。 而 iOS 一 旦 越狱 ， 来 自 Cydia 的 
App 束 可 以 拥有 比 StoreApp 更 高 的 权限 ， 从 而 访问 
全 系统 文件 ， 来 自 Cydia 的 iFile 即 是 OS 上 一 个 老 
牌 的 第 三 方 文件 管理 App， 如 图 2-1 所 示 。 


eeeeD 中 国联 通 14:16 


€ var mobile 


Q Search filenames 


/var/mobile 


|} Applications 
|} Containers 
LJ Documents 
|} Documentslogs 
L4 Downloads 
O Library 

anil Media 


|) MobileSoftwareUpdate 


$$? e M mqm 


图 2-1 File 
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还 可 以 在 AFC2 服 务 的 帮助 下 ， 通 过 iFunBox 
等 PC 喘 软 件 访问 iOS 全 系统 文件 ， 如 图 2-2 所 示 。 


因为 要 逆 同 的 对 象 来 自 于 iOS， 所 以 能 够 访问 
iOS 全 系统 文件 是 开展 iO0S 逆 向 工程 的 首要 前 提 。 


eoe iFunBox 
- FunMaker 5 | iP... 
New Folder Refresh Go Up Leve! Copy From Mac Copy To Mac Install App Current Device 
My Mac Name Size 
v "6 FunMaker 5(iPhone 5, iOS8.1) .bash history 5 KB 
>» A User Applications .cycript 
>  Q System Applications forward 10 B 


> 区 App File Sharing .gdb history 29 B 


Mw Applications 
Bi Containers 
D Documents 
Mj Camera2 - —Á 
D Downloads 
a Cydia App Install Bi Library 
EB Ringtones [3 Media 
LI iBooks Ol MobileSoftwareUpdate 
ee Memos w temp.txt 
Raw File System 


General Storage 
ij Camera 
Bj Camera 


图 2-2 iFunBox 


2.1.1 iOS 目 录 结 构 简 介 


iOS 是 由 OSX 演 化 而 来 的 ， 而 OSX 则 是 基于 
UNIX 控 作 系 统 的 。 这 三 痢 虽 然 有 很 大 区 别 ， 但 它 
们 血脉 相连 。 从 Filesystem Hierarchy Standard 和 
hier(7) 中 ， 可 以 一 拓 iO0S 目 录 结 构 的 设计 标准 。 


Filesystem Hierarchy Standard (以 下 简称 
FHS) 为 类 UNIX 操 作 系 统 的 文件 目录 结构 制定 了 
一 套 标准 ， 它 的 初衷 之 一 是 让 用 户 预知 文件 或 目 
录 的 存放 位 置 。OSX 在 此 基础 上 形成 了 自己 的 
hier(7) 框 狠 。 类 UNIX 操 作 系 统 的 常见 目录 结构 如 
RATA ° 


4 根 目 永 ， 以 和 料 杠 表示 ， 有 其 他 所 有 文件 和 目 
采 在 根 目录 下 展开 。 


/bin: “binary” 的 简写， 存放 提供 用 户 级 基础 
功能 的 二 进 制 文 件 ， 如 ls、ps 等 。 


boot: 存放 能 使 系统 成 功 启动 的 所 有 文件 。 
iOS 中 此 目录 为 空 。 


/dev: “device” hfj, FBSD NIE ° 
每 个 文件 代表 系统 的 一 个 块 设 备 或 字符 设备 ， 一 
般 来 说 ,“ 抉 设备 ”以 块 为 单位 传输 数据 ， 如 硬 
ma; 而 “字符 设备 ”以 字符 为 单位 传输 数据 ， 如 调 
Ta AVAL dE ° 


‘/sbin: “system binaries” 的 简写 ， 存 放 提 供 系 
统 级 基础 功能 的 二 进 制 文件 ， 如 netstat ^ reboot 


ZE o 
s 


Jetc: “Et Cetera” 的 简写 ， 和 存放 系统 脚本 及 配 
XF, passwd ^ hosts ° TEIOS"P, /etcxé— 


个 符 = 


FS BETZ, SCbNTBIU/private/etc ° 


lib: 存放 系统 库 文 件 、 内 核 模块 及 设备 驱 
动 等 。iOS 中 此 目录 为 空 。 


/mnt: “mount” 的 简写， 存放 临时 的 文件 系统 
挂 载 点 。iOS 中 此 目录 为 空 。 


Jprivate: 存放 两 个 目录 ， 分别 是 /private/etc 


和 /private/var ° 


Jtmp: 临时 目录 。 在 iOS 中 ，/tmp 古 一 个 符号 


链接 ， 实 际 指 问 /private/var/tmp ° 


Jusr: 包含 了 大 多 数 用 户 工 具 和 程 
序 。/usr/bin 包 含 那些 /bin 和 /sbin 中 未 出 现 的 基础 功 
能 ， 如 nm 、killall 等 ，/usr/include 包 含 所 有 的 标准 
C 头 文件 ，mswlib 存 放 库 文件 。 


/var: “variable” 的 倍 写 ， 存 放 一 些 经 党 更 改 
的 文件 ， 比 如 日 志 、 用 户 数 据 、 临 时 文件 等 。 其 
中 /var/mobile 和 /var/root 分 别 存放 了 mobile 用 户 和 
root 用 户 的 文件 ， 是 重点 关注 的 目录 。 


Eu Re PIAA AT ASI, Wm 
度 较 大 ， 作 为 初 和 学者， 暂时 不 用 在 其 中 投入 太 多 
精力 。 建 议 初 学 者 从 学 和 练 的 角度 出 发 ， 循 序 渐 
进 ， 由 另 到 难 ， 先 从 熟悉 的 内 容 开 刀 ， 这 样 效率 
Bim ° 


EKOSFERA., HERRIETA MID PERRE 
大 多 来 日 OS 的 独 有 目录， 如 下 所 示 。 


coves 中 国联 通 14:31 
< .29LMeZ Applications 
/var/db/stash/ .29LMeZ/Applications 


LI AACredential...eryDialog.app 
ai AccountAuth...tionDialog.app 
L2 Activator.app 

ami AdSheet.app 

mal AppStore.app 

L3 AskPermissionUl.app 
L4 Calculator.app 


L4 Camera.app 


© 
© 
© 
© 
© 
© 
© 
© 
© 


£} Compass.app 


© & M @ ð 


图 2-3 /Applications 


/Applications: 存放 所 有 的 系统 App 和 来 日 于 
Cydia 的 App， 不 包括 StoreApp， 如 图 2-3 所 示 。 


/Developer: 如 果 一 台 设 备 连 接 Xcode 后 被 指 
定 为 调试 用 机 (如 图 2-4 所 示 ) ，Xcode 就 会 在 iOS 
中 生成 这 个 目录 ， 其 中 会 舍 有 一 些 调 试 需要 的 工 
具 和 数据 ， 它 的 目录 结构 如 图 2-5 所 示 。 


Xcode File Edit View Find Navigate Editor Product Debug Source Control 


13.56 GB (7.7 GB availabie) 
6.1.3 (108329) 
2b5df82d0d47c3c9530c81730e6d7c3444.. 


Al2-4 ”指定 设备 为 调试 用 机 


/Library: 存放 一 些 提 供 系 统 文 持 的 数据 ， 其 
结构 如 图 2-6 所 示 。 其 中 /Library/MobileSubstrate 下 


存放 了 所 有 基于 CydiaSubstrate (原名 
MobileSubstrate) 的 插件 。 


/System/Library: iOS 文 件 系 统 中 最 重要 的 目 
采 之 一 ， 和 存放 大 量 系统 组 件 ， 其 日 各 结构 如 图 2-7 
Btzn ° 
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重点 关注 的 有 : 
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</ Developer 


/Developer 


-— Applications 
L3 Library 

L4 Tools 

Gy usr 


图 2-5 /Developer 
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€ / Library 
/Library 


- LaunchAgents 

L3 LaunchDaemons 
-— Lockdown 

i Logs 

- Managed Preferences 


BU MobileDevice 


L3 MobileSubstrate 


GOl Ooo a/g 


|) PreferenceBundles 


-) 


L3 PreferenceLoader 
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图 2-6 /Library 
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《 System Library 


/System/Library 


|) AccessibilitrBundles (i) 


- AccessoryUpdaterBundles (i) 


|) Accounts 
L ApplePTP 


|) AppleUSBDevice 
- AssetTypeDescriptors 
- Assistant 

|} Audio 


|) Backup 
© & M ü 


图 2-7 /System/Library 


/System/Library/Frameworks 
TI/System/Library/PrivateFrameworks: 存放 iOS 中 
的 各 种 framework， 其 中 出 现在 SDK 文 档 里 的 只 是 
永 山 一 角 ， 还 有 数 不 消 的 未 公开 功能 等 得 我 们 去 
FOR ° 


-/System/Library/CoreServices AJ 
SpringBoard.app: iOS 桌 面 管理 器 〈 类 似 于 
Windows 里 的 explorer) ， 是 用 户 与 系统 交流 的 最 
重要 中 介 。 


“/System” 目 隶 下 的 玄机 远 不 止 上 面 提 人 到 的 3 
个 目录 这 么 简单 ， 更 多 的 进 阶 内 容 ， 会 在 


http://bbs.iosre.com 持 续 讨 论 。 


JUser: 用 户 目 隶 ， 实 际 指 问 /var/mobile， 其 
目录 结构 如 图 2-8 所 示 。 


这 个 目录 里 存放 大 量 用 户 数 据 ， 比 如 : 
/var/mobile/Media/DCIM 下 存放 照片 ; 


-/var/mobile/Media/Recordings hENGK Er X. 
件 ; 


-varmobile/LibrarwWSMS 下 存放 短信 数据 
JÆ; 


-varmobile/LibrarwWMail 下 存放 邮件 数据 。 


男 外 一 个 非常 重要 的 子 目 孙 
是 /Var/mobile/Containers， 和 存放 StoreApp。 值 得 注 
意 的 是 ，App 的 可 执行 文件 在 bundle 与 App 中 的 数 


据 目 隶 被 分 别 存 放 在 /var/mobile/Containers/Bundle 
和 /var/mobile/Containers/Data 这 两 个 不 同 目 录 下 ， 
如 图 2-9 所 示 。 


对 iOS 目 隶 结 构 的 初步 了 解 有 助 于 在 发 现 感 兴 
趣 的 功能 后 ， 想 要 定位 其 对 应 的 文件 时 有 规律 可 
人 循 。 上 面 的 介绍 只 是 整个 ijOS 目 隶 结构 的 九 牛 一 
毛 ， 更 详细 的 讨论 ， 尽 在 http:/bbs.iosre.com ° 
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€ var mobile 


/var/mobile 


|) Containers 
|) Documents 
-— Downloads 
L4 Library 
L3 Media 


L3 MobileSoftwareUpdate (i) 
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图 2-8  /User 
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< mobile ^ Containers Edit 


/var/mobile/Containers 


L3 Bundle 
BN Data 
L3 Shared 


图 2-9  /var/mobile/Containers 


2.1.2 iOS 文件 权限 简介 


iOS 是 一 个 多 用 户 操 作 系 统 。“ 用 户 ” 是 一 个 抽 
象 的 概念 ， 它 代表 对 操作 系统 的 所 有 权 和 使 用 
仅 。 比 如 ，mobile 用 户 无 法 调用 reboot 命 令 重 局 
iOS， 而 root 用 户 却 可 以 ; “组 ”是 用 户 的 一 种 组 织 
方式 ， 一 个 组 可 以 包含 多 个 用 户 ， 一 个 用 户 也 可 
以 属于 多 个 组 。 


iOS 中 的 每 个 文件 都 有 一 个 属 主 用 户 和 一 个 属 
主 组 ， 或 者 说 这 个 用 户 和 这 个 组 拥有 这 个 文件 ; 
每 个 文件 都 具有 一 系列 权限 ， 简 单 地 说 ， 权 限 的 
作用 在 于 说 明文 件 的 属 主 用 户 能 做 什么 ， 属 主 组 
能 做 什么 ， 以 及 其 他 所 有 人 能 做 什么 。iOS 用 3 位 

(bit) 来 表示 文件 的 权限 ， 从 高 位 到 低位 分 别 是 r 
(read) 权限 、w (write) 权限 ， 以 及 x 


(execute) 权限 。 文 件 与 用 户 的 关系 存在 以 下 三 
种 可 能 性 : 


JAP REAR: 
:此 用 户 不 是 属 主 用 户 ， 但 在 属 主 组 里 ; 
“此 用 户 既 不 是 属 主 用 户 ， 义 不 在 属 主 组 里 。 


所 以 需要 用 3*3 位 来 表示 一 个 文件 的 权限 ， 如 
果 某 一 位 为 1， 则 这 一 位 代表 的 权限 生效 ， 否 则 无 
效 。 例 如 ，111101101 代 表 rwxr-xrx， 即 该 文件 的 
属 主 用 户 拥有 r、w、x 权 限 ， 而 属 主 组 和 其 他 所 有 
人 只 具有 r 和 x 权限 ; 同时 ， 二 进 制 的 111101101 转 
换 成 十 六 进 制 是 755， 也 是 一 种 常见 的 权限 表示 
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事实 上 ， 除 r、w、x 权 限 外 ， 文 件 还 可 以 拥有 
SUID、SGID 和 sticky 等 特殊 权限 ， 它 们 的 应 用 频 
率 不 高 ， 因 此 不 占用 单独 的 权限 位 ， 而 是 以 简化 
形式 出 现在 x 权限 所 在 的 权限 位 中 。 在 iOS 逆 同 工 
程 初 学 阶段 ， 一 般 接触 不 到 这 些 特殊 权限 ， 仅 作 
简单 了 解 即 可 。 如 果 你 对 它们 感 兴趣 ， 可 以 阅读 
http://thegeekdiary.com/what-is-suid-sgid-and-sticky- 
bit/， 也 可 以 来 http:Wbbs.iosre.com 参 与 讨论 。 


2.2 iOS 二 进 制 文件 类 型 


在 iOS 逆 向 工程 初学 阶段 ， 我 们 的 目标 主要 是 
Application、Dynamic Library (以 下 简称 dylib) 
和 Daemon 这 三 类 二 进 制 文件 ， 对 它们 的 了 解 越 深 
入 ， 逆 向 工程 束 会 越 顺利 。 这 三 类 文件 分 工 不 
同 ， 其 目录 结构 和 文件 权限 也 有 一 些 区 别 。 


2.2.1 Application 


Application 就 是 我 们 最 熟悉 的 App 了 了。 里 然 对 
于 大 多 数 iOS 开 发 者 来 说 ， 工 作 都 是 在 跟 App 打 交 
道 ， 但 在 iOS 逆 向 工程 中 ， 关 注 App 的 侧重 点 与 正 
问 开 发 还 古 不 尽 相 同 的 。 了 解 下 面 的 几 个 App 相 
天 概念 ， 是 开始 逆向 工程 前 的 必 备 工作 。 


1.bundle 


bundle 的 概念 来 源 于 NeXTSTEP， 它 不 是 一 个 

文件 ， 而 是 一 个 按 某 种 标准 结构 来 组 织 的 目录 ， 
其 中 包含 了 二 进 制 文件 及 运行 所 需 的 资源 。 正 问 
开发 中 常见 的 App 和 framework 都 是 以 bundle 的 形 
式 存 在 的 ; 在 越狱 iOS 中 常见 的 PreferenceBundle 

(如 图 2-10 所 示 ) ， 可 以 看 成 是 一 种 依附 于 
Settings 上 的 App， 结 构 与 App 类 似 ， 本 质 也 和 十 
bundle ° 
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《 Settings “Messages 


iMessage C` 


iMessages can be sent between iPhone, iPad, 
iPod touch, and Mac. Learn More... 


Text Message Forwarding 


Allow your iPhone text messages to also be 
sent and received on other devices signed in to 
your iMessage account. 


Send Read Receipts C) 


Allow others to be notified when you have read 
their messages. 


Send as SMS 


Send as SMS when iMessage is unavailable. 
Carrier messaging rates may apply. 


图 2-10  PreferenceBundle 


Frameworkt#ebundle, íHframeworkf')bundle 
中 存放 的 是 一 个 dylib ， 而 不 是 可 执行 文件 。 相 对 
来 说 ，framework 的 地 位 比 App 更 高 ， 因 为 一 个 
App 的 绝 大 多 数 功能 都 是 通过 调用 framework 提 供 
的 接口 来 实现 的 。 将 某 个 bundle 确 立 为 园 癌 目标 
后 ， 绝 大 多 数 赦 癌 线 索 都 可 以 在 bundle 内 找到 ， 
这 大 大 降低 了 逆 癌 工程 的 复杂 上 度 。 


2.App Hx Zi 
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三 个 部 分 比较 重要 。 


‘Info.plist 


Info.plist 记 录 了 App 的 基本 信息 ， 如 bundle 
identifier、 可 执行 文件 名 、 图 标 文件 名 等 。 其 中 
bundle identifier? ££ Ja 2 3€ T7 H'JCydiaSubstrate F 
成 为 tweak 的 重要 配置 信息 。 可 以 通过 Xcode 查看 
它 的 值 ， 如 图 2-11 所 示 。 


=) Info.plist 
Info.plist » No Selection 
Type 

DTPlatformBuild $ String 

MinimumOSVersion * String 

Bundie OS Type code * String 

Localization native development r... $ tring 

DTXcodeBuild $ String 

Bundle version 
> UlDeviceFamily 


> Icon files 


图 2-11 用 Xcode 查看 Info.plist 


也 可 以 通过 Xcode 目 市 的 命令 行 工 具 plutil 得 
ACME, WF: 


snakeninnysiMac:- snakeninny$ plutil -p 
/Users/snakeninny/Code/iOSSystemBinaries/8.1 iPhone5/SiriVie 
wService.app/Info.plist | grep CFBundleIdentifier 
"CFBundleIdentifier" => "com.apple.SiriViewService" 


本 书 主 要 采用 plutil 的 方式 来 查看 plist 文 件 。 
可 执行 文件 


可 执行 文件 的 重要 性 不 言 而 喻 ， 它 是 App 目 
录 下 最 核心 的 部 分 ， 也 是 逆向 工程 最 主要 的 目 
标 。 同 样 可 以 通过 Xcode 和 plutil 两 种 方式 来 查看 
Info.plist， 定 位 可 执行 文件 。 用 Xcode 查看 
Info.plist 的 界面 如 图 2-12 所 示 。 


也 可 以 通过 Xcode 目 市 的 命令 行 工具 plutil 香 
ACME, WF: 


snakeninnysiMac:~ snakeninny$ plutil -p 
/Users/snakeninny/Code/iOSSystemBinaries/8.1 iPhone5/SiriVie 
wService.app/Info.plist | grep CFBundleExecutable 
"CFBundleExecutable" => "SiriViewService" 


Info.plist 


® Info.plist ) No Selection 


DTPlatformBuild 
MinimumOSVersion 
Bundle OS Type code 
Localization native development r... 
DTXcodeBuild 
Bundle version 

|  Executable file $060 String > SiriViewService | 


> UlDeviceFamily | ^ Array (2 items) 


pah ah 4 ah 4 


图 2-12 ”用 Xcode 查看 Info.plist 
]proj H5K 


lproj 目 隶 下 和 存放 的 是 各 种 本 地 化 的 字符 串 
(strings) ， 是 iO0S 逆 向 工程 的 重要 线索 ， 也 可 以 
用 plutil 查 看 ， 如 下 : 


snakeninnysiMac:- snakeninny$ plutil -p 
/Users/snakeninny/Code/iOSSystemBinaries/8.1 iPhoneb5/SiriVie 
wService.app/en.lproj/Localizable.strings 


"ASSISTANT INITIAL QUERY IPAD" => "What can I help you 
with?" 

"ASSISTANT BOREALIS EDUCATION SUBHEADER IPAD" => "Just say 
"Hey Siri" to learn more." 

"ASSISTANT FIRST UNLOCK SUBTITLE FORMAT" => "Your passcode 


is required when %@ restarts" 


这 部 分 内 容 的 应 用 场景 会 在 第 5 章 出 现 。 
3. 系 统 App VS.StoreApp 


/Applications/ 目 隶 和 存放 系统 App 和 从 Cydia 下 
载 的 App 我们 把 来 自 Cydia 的 App 视 为 系统 
App) ， 而 /Var/mobile/Containers/ 目 录 存 放 的 则 是 
StoreApp。 里 然 两 者 都 是 App， 但 它们 在 如 下 方面 
存在 着 一 些 差 别 。 


H R 


两 种 App 的 bundle 内 部 目录 结构 区 别 不 大 ， 都 
含有 Info.plist、 可 执行 文件 、lproj 目 邓 等 ， 但 古 数 
据 目 如 的 位 置 不 辣 : StoreApp 的 数据 目 孙 


在 /var/mobile/Containers/Data/ 下 ， 以 mobile 权 限 运 
行 的 系统 App 的 数据 目录 在 /var/mobile/ 下 ， 而 以 
root 权 限 运行 的 系统 App 的 数据 目录 在 /var/root/ 
RE 
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Cydia App 的 安装 包 格 式 一 般 是 deb， 
StoreApp 的 安 效 包 格式 一 般 是 ipa。 其 中 deb 是 来 日 
Debian 的 安装 包 格 式 ， 由 Cydia 作 者 saurik 移 植 到 
iO0S 中 ， 它 的 属 主 用 户 和 属 主 组 一 般 是 root 和 
admin， 能 够 以 root 权 限 运 行 ， 而 ipa 十 平 采 为 iDOS 
推出 的 专属 App 安 妆 包 格式 ， 属 主 用 户 和 属 主 组 


都 是 mobile， 只 能 以 mobile 权 限 运行 。 


Lf (sandbox) 


通俗 地 说 ，iOS 中 的 沙 盒 就 是 一 种 访问 限制 机 
制 ， 我 们 可 以 把 它 看 作 是 权限 的 一 种 表现 形式 ， 
授权 文件 (entitlements) 也 是 沙 盒 的 一 部 分 。 它 
是 i0S 最 核心 的 安全 组 件 之 一 ， 其 实现 很 复杂 ， 这 
里 不 过 多 讨论 其 细节 。 总 的 来 说 ， 沙 盒 会 将 App 
的 文件 访问 范围 限制 在 这 个 App 内 部 ， 一 个 App 一 
般 不 知道 其 他 App 的 人 存在， 更 别 说 访问 它们 了 
沙 盒 还 会 限制 App 的 功能 ， 例 如 对 iCloud 接 口 的 调 
用 就 必须 经 过 沙 盒 的 允许 。 


在 初学 阶段 ， 我 们 的 目标 不 是 沙 盒 ， 知 道 有 
IE TIR a TES T e FEIOSM IA) LHP, EX 
狱 本 身 已 经 破除 了 iOS 的 绝 大 多 数 安 全 限制 ， 并 对 
沙 盒 进行 了 一 定 程度 的 扩充 ， 因 此 我 们 往往 很 容 
男 忽 上 略 sandbox 有 的 存在， 从 而 页 到 一 些 看 似 很 奇怪 


的 问题 。 比 如 某 个 tweak 不 能 写 文 件 ， 调 用 了 某 个 
国 数 却 没有 出 现 应 有 的 效果， 在 确保 目 己 的 代码 
没有 问题 的 前 所 下 ， 束 要 回 过 头 来 检查 这 些 问题 
定 不 是 因 为 权限 不 够 ， 或 着 沙 盒 限 制造 成 的 。 
App 相 天 的 概念 不 是 用 三 言 两 语 可 以 描述 完 的 ， 
如 果 有 什么 疑问 ， 可 以 直接 来 http://bbs.iosre.com 


交流 讨论 。 
2.2.2 Dynamic Library 


大 部 分 iDOS 开 发 者 的 日 常 工作 应 该 都 是 写 
App， 估 计 很 少 有 人 写 过 dylib， 因 此 对 dylib 的 概 
念 很 陌生 。 殊 不 知 ， 在 Xcode 工 程 里 导入 的 各 种 
framework， 链 接 的 各 种 jb， 其 实 本 质 都 是 dylib。 
可 以 用 “file” 命 令 验证 一 下 ， 如 下 : 


snakeninnysiMac:- snakeninny$ file 
/Users/snakeninny/Code/iOSSystemBinaries/8.1.1 iPhone5/Syste 
m/Library/Frameworks/UIKit.framework/UIKit 
/Users/snakeninny/Code/iOSSystemBinaries/8.1.1 iPhone5/Syste 
m/Library/Frameworks/UIKit.framework/UIKit: Mach-O 
dynamically linked shared library arm 


如 末 把 焦点 转移 到 越狱 iOS 中 ，Cydia 里 的 各 
种 tweak 无 一 不 是 以 dylib 的 形式 工作 的 ， 正 是 这 些 
tweak 的 存在 让 我 们 能 够 随意 定制 目 己 的 OS。 在 
逻 同 工程 中 ， 我 们 会 频 爱 接触 各 种 dylib， 因 此 有 
必要 了 解 一 些 相关 知识 。 


在 iOS 中 ，lib 分 为 static 和 dynamic 两 种 ， 其 中 
static lib 在 编译 阶段 成 为 App 可 执行 文件 的 一 部 
分 ， 会 增加 可 执行 文件 的 大 小 。 因 为 App 尺 寸 变 
大 ， 局 动 时 需要 加 载 的 内 容 变 多 ， 所 以 可 能 会 导 
致 App 局 动 变 慢 。dylib 则 相对 “智能 ”一 些 ， 它 不 
会 改变 可 执行 文件 的 大 小 ， 只 有 当 App 需 要 用 到 


al 


这 个 dylib 时 ，iOS 才 会 把 它 加 载 进 内 存 ， 成 为 App 
进程 的 一 部 分 。 


值得 一 提 的 是 ，dylib 虽 然 充 不 在 iOS 的 各 个 
Fs, et LEN EBA Ral, (ARASH 
不 是 可 执行 文件 ， 不 能 独立 运行 ， 只 能 为 别 的 进 
程 服 务 ， 而 且 它 们 寄生 在 别 的 进程 里 ， 成 为 了 这 
个 进程 的 一 部 分 。 因 此 ，dylib 的 权限 是 由 它 寄 生 
的 那个 App 决 定 的 ， 同 一 个 dylib 寄 生 在 系统 App 和 
StoreApp 里 时 的 权限 是 不 同 的 。 例 如 ， 你 写 了 一 
个 InstagramHJtweak， 用 来 把 喜欢 的 图 片 保存 在 本 
地 ， 如 果 保 存 目 录 是 /var/mobile/Containers/Data/ 
下 App 对 应 的 Documents 目 未 ， 那 么 因为 nstagram 
是 一 个 StoreApp， 这 样 的 操作 是 没有 问题 的 ， 
tweakHE9 ik is LIE e TU MRR HK 


是/varvmobile/Documents， 那 么 在 兴高采烈 地 保存 
TORREK, AREALA, BARR 
现 /vavmobile/Documents 里 啥 图 乒 也 没有 一 一 操作 
都 被 sandbox 给 奏 挥 了。 


2.2.3 Daemon 


相信 本 书 的 绝 大 部 分 读 首 从 接触 iOS 开 发 的 第 
一 天 起 ， 束 不 断 锌 羊 条 灌输 这 梓 一 个 观念 一 一 iOS 
中 没有 真正 的 后 台 多 任务 ， 你 的 App 在 后 台 将 被 
大 大 限制 。 如 采 你 是 一 个 纯粹 的 App Stores? 
者， 坚信 并 坚守 这 个 观念 ， 那 么 它 将 是 你 的 App 
IER AA BET; 但 既然 你 阅读 了 这 本 
书 ， 想 要 在 学 习 逆 同 工 程 的 同时 了 解 一 些 官方 文 
档 没 有 阐述 的 事实 ， 那 么 你 整 要 保持 冷 表 ， 理 性 


思 券 。 让 我 们 一 起 回想 一 下 iPhone 上 的 一 些 现 
D [9] 


1) 当 我 们 正在 用 iPhone 上 网 或 刷 微 博时 来 了 
一 个 电话 ， 所 有 其 他 操作 会 立即 中 断 ，iOS 第 一 时 
间 将 接听 电话 的 界面 硅 现 在 我 们 面前 。 如 宁 iOS 中 
没有 真正 的 后 台 多 任务 ， 系 统 是 如 何 实时 处 理 这 
个 来 电 的 呢 ? 


2) 对 于 那些 经 常 收 到 垃圾 短信 和 骚扰 电话 的 
朋友 来 说 ， 类 似 于 SMSNinja 这 样 的 防火 墙 软件 必 
不 可 少 。 如 采 它 不 能 常 驻 iOS 后 人 台 ， 怎 么 能 够 实时 
地 处 理 并 过 滤 收 到 的 每 一 条 短信 呢 ? 


3) Backgrounderzé —3XiOS 5 时 代 的 插件 ， 它 
能 够 帮助 App 实 现 真 正 的 后 台 运 行 。 有 了 它 ， 我 


们 再 也 不 用 担心 因为 push 功 能 的 不 给 力 而 漏 收 QQ 
iH REI 如 末 iOS 中 没有 真正 的 后 台 多 任务 ， 
Backgrounder 怎 么 会 存在 呢 ? 


这 些 现象 无 一 不 说 明 iOS 实 际 上 存在 真正 的 后 
台 多 任务 。 那 么 难道 是 乎 果 说 错 了 ? 并 不 是 ! 对 
于 StoreApp 来 说 ， 当 用 户 按 下 home 键 时 ， 进 程 殉 
进入 后 台 了 ， 大 多 数 功能 都 会 被 暂 俘 ， 也 束 是 
说 ， 对 于 遵 纪 守法 的 App Store 开 发 者 来 说 ， 可 以 
把 iOS 看 作 是 没有 真正 后 台 多 任务 的 系统 ， 因 为 你 
唯一 能 干 的 事 不 文 持 后 台 多 任务 。 但 iOS 源 于 
OSX， 后 者 又 跟 所 有 类 UNIX 操 作 系 统一 样 ， 有 
daemon ( 即 守 护 进 程 ，Windows 称 Service) 的 概 
念 。 越 狱 开放 了 iOS 全 文件 系统 ，daemon 也 得 以 
展现 在 我 们 面前 。 


Daemon 为 后 台 运 行 而 生 ， 给 用 户 提 供 了 各 
种 *“ 守 扩 ”， 如 imagent 保 障 了 iMessage 的 正确 收 
发 ，mediaserverd 处 理 了 几乎 所 有 的 首 频 、 视 频 ， 
syslogd 则 用 于 记录 系统 日 志 等 。iOS 中 的 daemon 
主要 由 一 个 可 执行 文件 和 一 个 plist 文 件 构 成 。iOS 
的 根 进程 是 launchd， 它 会 在 开机 时 检 
查 /System/Library/LaunchDaemons 
和 /Library/LaunchDaemons 下 所 有 格式 符合 规定 的 
plist 文 件 ， 然 后 局 动 对 应 的 daemon。 这 里 的 plist 
文件 与 App 中 的 Info.plist 文 件 作用 类 似 ， 即 记录 
daemon 的 基本 信息 ， 如 下 : 


snakeninnys-MacBook:- Snakeninny$ plutil -p 
/Users/snakeninny/Code/iOSSystemBinaries/ 
8.1.1 iPhone5/System/Library/LaunchDaemons/com.apple.imagent 
.plist 
{ 

"WorkingDirectory" => "/tmp" 

"Label" => "com.apple.imagent" 

"JetsamProperties" => { 

"JetsamMemoryLimit" => 3000 


j 


"EnvironmentVariables" => { 
"NSRunningFromLaunchd" => "1" 


} 

"POSIXSpawnType" => "Interactive" 

"MachServices" => { 
"com.apple.hsa-authentication-server" => 1 
"com.apple.imagent.embedded.auth" -» 1 
"com.apple.incoming-call-filter-server" => 1 


"UserName" => "mobile" 
"RunAtLoad" => 1 
"ProgramArguments" => [ 

0 => 
"/System/Library/PrivateFrameworks/IMCore.framework/imagent. 
app/imagent" 

] 
"KeepAlive" -» ( 

"SuccessfulExit" => 0 


j 
j 


TEXT App. daemone KAID RER NRE 

赣 回 难度 也 要 大 得 多 ， 随 意 改动 造成 鸭 后 果 
当然 也 殉 产 重 得 多 ， 所 以 日 笠 末 的 惨案 才 会 时 有 
发 生 。 在 iOS 逆 回 工 程 初 学 阶段 ， 请 不 要 把 
daemon% FHE; 2343 T JL App. A 
了 一 定 的 心得 和 积 素 后 再 挑战 这 些 daemon 才 是 比 
较 明 智 的 选择 。 相 比 App， 逆 辐 daemon 花 费 的 时 


间 和 精力 会 更 多 ， 但 更 多 的 付出 一 定 会 市 来 更 丰 
厚 的 回报 。 例 如 ，“iOS 上 的 第 一 款 电 话 孙 音 软 
ff” Audio Recorders z38 13:57 [1] mediaserverdix f~ 
daemon 实 现 的 。 


本 章 简单 介绍 了 ioOS 系 统 结构 和 常见 的 二 进 制 
文件 类 型 ， 它 们 都 是 App Store 开 发 者 不 需要 了 解 
也 接触 不 到 的 知识 ， 在 学 习 iOS 逆 回 工 程 时 很 容易 
形成 概念 育 区 。 本 章 旨 在 科普 那些 在 揽 回 工程 中 
非常 重要 但 苹果 官方 闭口 不 提 的 OS 系统 级 知识 
点 ， 从 而 为 App Storer AZ 117 F0S839 [a] LEER 


jm B e 


i AN IT RBS RE PAAR BS BB n] 
DA eee, (PAM ese, T 
解 这 些 概 念 之 后 知道 页 到 问题 应 该 往 哪 个 方 同 寻 
来 解决 方案 ， 殊 达到 了 本 章 的 目的 。 如 末 对 上 面 


的 内 容 有 任何 疑问 或 者 心得 ， 都 欢迎 来 
http:Wbbs.iosre.com 跟 大 家 交流 。 


第 一 部 分 介绍 了 逆向 工程 的 基本 概念 ， 从 第 
二 部 分 开始 ， 将 介绍 在 iOS 逆 向 工程 中 用 到 的 一 系 


TEXT t S AppStore7F A, iOS a] LELE 
HU SCARE Re “AR” » TEAppStore7F Arp, — 
Xcode HJ D SE RAK BEA] LE, CEPR 
RER, FRO RA EAA BEAT BH 
HHA — Eee > LER, PIERI Ae Ls 
化 的 功能 ， 在 开发 中 并 不 是 必需 的 。 


T XE ASIA Fe IOS [A] LIEF, RITANA 
fee 7S TEL} — I ER AL ER eB S LL AY Ro SOLUTI 
HAREAZ, “KES BA, BIE 
AMA-MRF, EMXcode; 而 另 一 张 桌 子 上 
摊 看 大 闻 艇 和 牛排 ， 劳 边 横 七 坚 八 地 堆 满 了 艇 八 
件 、 刀 、 叉 ， 等 等 ， 其 中 的 几 个 大 块头 分 别 叫 
Theos ^ Reveal ` IDA...... 


jUE TREZ HARA ZG ^ SORT 
赖 的 关系， 整合 度 远 没 有 Xcode 局 ， 因 此 在 使 用 
过 程 中 得 根据 需要 把 它们 手动 组 合 起 来 。 第 二 部 
分 不 可 能 涵盖 所 有 逆向 工程 工具 ， 不 过 相信 大 家 
在 完全 吃透 本 书 内 容 之 后 ， 一 定 会 具备 举 一 反 二 
的 能 力 ， 届 时 可 根据 目 己 的 需求 寻找 对 应 的 工 


具 ， 也 可 以 来 http:/Wbbs.iosre.com 上 交流 你 的 心 


三 | 
Ff e 


Ab, AARATAN LAMA, IR 
乱 ， 所 以 第 二 部 分 的 内 容 分 成 两 章 ， 分 别 是 OSX 
工具 集 和 iOS 工 具 集 。 本 章 所 使 用 的 iD0S 设 备 是 
iPhone 5，iOS 版 本 是 8.1。 


第 3 章 OSX LA 


iOS 刻 回 工 程 用 到 的 一 系列 工具 功能 不 同 ， 角 
色 各 寞 ， 它 们 在 OSX 上 完成 的 主要 是 开发 和 调试 
工作 。iOS 干 这 个 活 儿 有 些 吃力 ， 毕 竟 屏 幕 尺寸 在 
xu e 

本 章 主 要 介绍 的 工具 有 4 个 : class-dump ^ 


Theos、Reveal、IDA， 其 他 的 都 是 配套 使 用 的 辅 
助 工具 。 


3.1 class-dump 


class-dump, Ji X, HiH dump H ËR 
对 象 的 class 信 息 的 工具 。 它 利用 Objective-C 语 言 
的 runtime 特 性 ， 将 存储 在 Mach-O 文 件 中 的 头 文件 
言 轧 提取 出 来 ， 并 生成 对 应 的 .:h 文 件 。 


class-dump 的 用 法 比较 人 简单， 下 先 去 
http:/stevenygard.comy/projects/class-dump 下 载 最 新 
版 的 class-dump， 如 图 3-1 所 示 。 


Class-dump 


This is a command-line utility for examining the Objective-C runtime information stored in Mach-O files. It generates 
declarations for the classes, categories and protocols. This is the same information provided by using 'otool -ov', but 


presented as normal Objective-C declarations, so it is much more compact and readable. 


Why use class-dump? 


It's a great tool for the curious. You can look at the design of closed source applications, frameworks, and bundles. 
Watch the Interfaces evolve between releases. Experiment wlth private frameworks, or see what private goodles are 
hiding in the AppKit. Learn about the plugin API lurking In Mail.app. 


Download 


Current version: 3.5 (64 bit Intel) 
Requires Mac OS X 10.8 or later. 


* class-dump-35.5.dmg 
* class-dump-3.5.tar.gz 
* class-dump-3.5 tar.bz2 


图 3-1 class-dump 3: Jl 


下 载 class-dump-3.5.dmg 后 ， 将 dmg 文 件 里 的 
class-dump & ti| £l|*/usr/bin" F, ZA/& f£ Terminal? 
执行 “sudo chmod 777/usr/bin/class-dump” fij A WA T 
其 执行 权限 。 运 行 class-dump， 即 可 看 到 它 的 一 些 
基本 参数 ， 如 下 : 

snakeninnysiMac:~ snakeninny$ class-dump 


class-dump 3.5 (64 bit) 
Usage: class-dump [options] <mach-o-file> 


where options are: 
-a show instance variable offsets 
-A show implementation addresses 
--arch «arch» choose a specific architecture from a 
universal binary (ppc, ppc64, 1386, x86 64, armv6, armv7, 
armv7s, arm64) 


-C «regex» only display classes matching regular 
expression 

-f «str» find string in method name 

-H generate header files in current 
directory, or directory specified with -o 

-I sort classes, categories, and 
protocols by inheritance (overrides -s) 

-0 <dir> output directory used for -H 

-r recursively expand frameworks and 
fixed VM shared libraries 

-S sort classes and categories by name 

-S sort methods by name 

-t suppress header in output, for 
testing 

--list-arches list the arches in the file, then 
exit 


- -sdk-ios specify iOS SDK version (will look in 
/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/iPhone 
OS<version>.sdk 


--sdk-mac specify Mac OS X version (will look 
in /Developer/SDKs/MacOSX<version>. sdk 
--sdk-root specify the full SDK root path (or 


use --sdk-ios/--sdk-mac for a shortcut) 


class-dump 的 对 象 是 Mach-O 格 式 的 二 进 制 文 
件 ， 如 Framework 的 库 文 件 和 App 的 可 执行 文件 。 
下 面 以 笔者 的 一 个 App 为 例 ， 来 看 看 class-dump 的 


SE RUE ° 


1. 定 位 App 的 可 执行 文件 


首先 把 市 class-dump 的 App 搁 贝 到 OSX 中 ， 笔 
者 放 在 了 “/Users/snakeninny” 下 。 然 后 在 Terminal 
中 进入 App 所 在 的 目 永 ， 并 用 Xcode 目 市 的 plutil 工 
具 查 看 Info.plist 中 的 “CFBundleExecutable” 字 上 段 ， 
如 下 : 


snakeninnysiMac:~ snakeninny$ cd 
/Users/snakeninny/SMSNinja.app/ 
snakeninnysiMac:SMSNinja.app snakeninny$ 
snakeninnysiMac:SMSNinja.app snakeninny$ plutil -p 
Info.plist | grep CFBundleExecutable 
"CFBundleExecutable" => "SMSNinja" 


当前 目录 下 的 “SMSNinja” 就 是 App 的 可 执行 
pups 


2.class-dump 可 执行 文件 


JESMSNinjall] 3. X f'Fclass-dump 
到“/path/to/headers/SMSNinja/* 下 ， 并 将 头 文件 内 
容 按 名 字 排 序 ， 命 令 如 下 : 


snakeninnysiMac:SMSNinja.app snakeninny$ class-dump -S -s -H 
SMSNinja -o /path/to/headers/SMSNinja/ 


大 家 可 以 用 目 己 的 App 实 践 一 下 ， 然 后 用 
class-dump 的 头 文 件 对 比 源 文件 中 的 头 文 件 ， 是 不 
是 十 分 相似 ? 除了 一 些 参数 类 型 被 改 成 了 id， 参 
数 名 用 arg1、arg2 表 示 之 外 ， 儿 乎 就 是 一 梗 一 样 的 
吧 ? class-dump 帮 我 们 排序 后 ， 头 文件 的 可 读 性 甚 
ELI NEL 


tE Fd class-dump 47 tT Bl CLEA pp15 8 KAR 
义 ， 我 们 当然 不 会 止步 于 此 : 同样 是 闭 兰 应 用 ， 


class-dump 有 既然 能 提取 目 己 App 里 的 头 文 件 ， 目 然 
也 能 提取 别人 App 里 的 头 文件 ! 


透 过 这 些 头 文件 ， 闭 源 App 的 程序 染 构 就 能 
初 现 端倪 了 ， 经 难 丰 宣 的 开发 人 员 可 以 从 中 了 解 
非常 多 的 信息 ， 这 些 信 息 是 i0S 逆 癌 工 程 的 基础 。 
不 过 现在 的 App 工 程 越 来 越 大 ， 而 且 还 在 不 停 地 
引用 第 三 方 代码 ， 因 此 经 常会 发 现 class-dump 出 来 
IRAE Me TRAM, BOSAL RA 
地 分 析 是 很 好 的 练习 方式 ， 但 过 程 实在 太 复 洒 ， 
让 人 头 大 。 在 后 面 的 章节 ， 将 通过 各 种 工具 逐步 
缩小 目标 泡 围 ， 最 后 精准 地 定位 目标 函 效 。 


值得 注意 的 是 ， 从 AppStore 下 载 的 App 都 是 经 
过 加 密 的 ， 可 执行 文件 被 加 上 了 一 层 “ 膏 ”"， 束 像 
一 颗 人 硬 硬 的 核桃 ，class-dump 应 付 不 了 这 样 的 文 


fk o RIE, RAI XE Hiclass-dumpix E — AT 
RAA, AUR, IET AA A E l 
此 时 使 用 class-dump 看 上 去 会 “失效 ”。 要 想 吃 核 
桃 ， 还 得 和 完 用 别 的 工具 把 壳 砸 开 才 行 ， 具体 的 内 
容 下 一 间 就 会 揭晓 。 关 于 class-dump 的 更 多 用 法 ， 


请 持续 关注 http://bbs.iosre.com ° 


3.2 Theos 


32.1 Theos 简 介 


Theos 是 一 个 越狱 开发 工具 包 ， 由 iOS 越 狱 界 
知名 人 士 Dustin Howett (@DHowett) 开发 并 分 享 
到 GitHub 上。Theos 与 其 他 越狱 开发 工具 相 比 ， 了 最 
KARA Be ie: TRAR ` Logosi fa 
单 、 编 译 发 布 简单 ， 可 以 让 使 用 者 把 精力 都 放 在 
7A LIFLR ° 


值得 一 提 的 是 ， 越 狱 开 发 中 第 用 的 男 一 工具 
iOSOpenDev 是 整合 在 Xcode 里 的 ， 锅 悉 Xcode 的 朋 
友 可 能 会 对 它 更 感 兴趣 。 但 敢 同 工程 接触 压 层 知 
识 较 多 ,很 多 东西 无 法 目 动 化 ， 因 此 推荐 使 用 整 


合 度 并 不 算 高 的 Theos， 当 你 手动 完成 一 个 又 一 个 
练习 时 ， 对 逆向 工程 的 理解 一 定 会 更 深 


这 里 插播 一 个 关于 DHowett 的 小 段子 : 
DHowett 的 全 名 叫 Dustin L.Howett， 他 是 个 很 有 个 
性 的 少年 ， 出 生 在 美国 宾 儿 法 尼 亚 州 的 郊区 ， 从 
小 痢 迷 电脑 。 大 学 读 了 不 到 一 年 ， 觉 得 老师 讲 得 
没意思 ， 丈 不 愿意 好 好 听 了 ， 目 然 也 就 跟 不 上 。 
更 重要 的 是 ， 他 和 一 个 关 姐 展开 了 疡 狂 的 异地 
I, Pant Thee, WE TABS aaa EEH 
加 州 ， 并 求职 进 了 Saurik 的 公司 SaurikIT。DHowett 
的 早期 作品 CyDelete 以 Cy 开 头 ， 而 这 种 命名 方式 
是 Saurik 御 用 的 ， 说 明 DHowett 的 作品 得 到 了 
Saurik 的 认可 ， 也 足见 DHowett 与 Saurik 关 系 之 
好 。 但 遗憾 的 是 ， 在 Dustin 轰 学 后 ， 他 和 女 朋 友之 
间 开 始 出 现 问题 ， 最 后 分 道 扬 乌 了 。 之 后 Dustin 离 


DailyBooth， 但 这 家 公司 经 营 不 善 ， 没 多 久 就 倒闭 
了 ， 他 就 又 回 家 待业 了 。 过 了 没 多 久 ，Dustin 爱 上 
了 另 一 个 女孩 ， 所 以 他 又 为 了 这 个 姑娘 搬 回 有 旧 金 
山 ， 并 且 在 当地 一 家 不 销 的 公司 Airbnb 找 到 了 一 份 
新 工作 。 在 我 眼 里 ，Dustin 敢 想 敢 干 、 敢 爱 敢 恨 、 
敢 作 敢 当 ， 真 是 “让 我 们 红 从 作 伴 活 得 泗 漠 洒 

洒 ?”， 可 以 说 是 一 个 风 一 般 的 男子 ， 令 人 十 分 党 
拜 。 


3.2.2 ”安装 Theos 


1. 安 装 Xcode 与 Command Line Tools 


一 般 来 说 ，iOS 开 发 者 都 会 安 闭 Xcode， 其 中 
附带 了 Command Line Tools。 如 果 还 没有 安装 


Xcode, i##!/Mac AppStore it PE ° WRTA T 
多 个 Xcode， 需 要 使 用 xcode-select 命 令 指 定 一 个 活 
动 Xcode， 即 Theos 默 认 便 用 的 Xcode。 假 设 安 儿 了 
3 个 Xcode， 并 将 它们 分 别 命 名 为 Xcode1.app ` 

Xcode2.app 和 Xcode3.app， 厅 要 指定 Xcode3 为 活动 


Xcode， 则 运行 如 下 命令 : 


snakeninnys-MacBook:~ snakeninny$ sudo xcode-select -s 
/Applications/Xcode3.app/Contents/Developer 


2. FzX Theos 


从 GitHub 上 下 载 Theos， 操 作 如 下 : 


snakeninnysiMac:- snakeninny$ export THEOS-/opt/theos 
snakeninnysiMac:- snakeninny$ sudo git clone 
git://github.com/DHowett/theos.git $THEOS 

Password: 

Cloning into '/opt/theos'... 

remote: Counting objects: 4116, done. 

remote: Total 4116 (delta 0), reused 0 (delta 0) 
Receiving objects: 100% (4116/4116), 913.55 KiB | 15.00 
KiB/s, done. 

Resolving deltas: 100% (2063/2063), done. 

Checking connectivity... done 


3. 配 置 ldid 


ldid 是 专门 用 来 签名 iOS 可 执行 文件 的 工具 ， 
用 以 在 越狱 iOS 中 取代 Xcode 目 带 的 codesign。 从 
http://joedj.net/ldid 下 载 1did， 把 它 放 
在 “/opt/theos/bin/” 下 ， 然 后 用 以 下 命令 赋予 它 可 执 
行 权 限 : 


snakeninnysiMac:~ snakeninny$ sudo chmod 777 
/opt/theos/bin/ldid 


4. 配 置 CydiaSubstrate 


首先 运行 Theos 的 目 动 化 配置 脚本 ， 操 作 如 
下 : 


snakeninnysiMac:~ snakeninny$ sudo 
/opt/theos/bin/bootstrap.sh substrate 

Password: 

Bootstrapping CydiaSubstrate... 

Compiling iPhoneOS CydiaSubstrate stub... default target? 


failed, what? 
Compiling native CydiaSubstrate stub... 
Generating substrate.h header... 


此 处 会 遇 到 Theos 的 一 个 bug， 它 无 法 自动 生 
成 一 个 有 效 的 libsubstrate.dylib 文 件 ， 需 要 手动 操 
作 。 解 决 方法 很 简单 : 首先 在 Cydia 中 搜索 安 
装 “CydiaSubstrate” (如 图 3-2 所 示 ) ° 


eeeco 中 国联 通 08:23 
€ Installed Details 


g Cydia Substrate 
0.9.5101 


—.. Change Package Settings > 


3» Author Jay Freeman (saurik) > 


Installed Package 
(= Version 0.9.5101 
__ Filesystem Content > 


mobilesubstrate 
Cydia/Telesphoreo - System 


Installed 


图 3-2  CydiaSubstrate 


然后 用 iFunBox 或 scp 等 方式 将 IOS 上 


HJ*/Library/Frameworks/CydiaSubstrate.framework/ 


CydiaSubstrate" 找 贝 到 OSX 中 ， 将 其 重 命名 为 
libsubstrate.dylib 后 放 

到 |“/opt/theos/lib/libsubstrate.dylib” 中 ， 替 换 掉 无 效 
的 文件 即 可 。 


5. 配 置 dpkg-deb 


deb 是 越狱 开发 安装 包 的 标准 格式 ，dpkg-deb 
是 一 个 用 于 操作 deb 文 件 的 工具 ， 有 了 这 个 工具 ， 
Theos 才 能 正确 地 把 工程 打包 成 为 deb 文 件 。 


从 
https://raw.githubusercontent.com/DHowett/dm.pl/ma 
sterdm.pl 下 载 dm.p1， 将 其 重 命名 为 dpkg-deb 后 ， 

放 到 “/opt/theos/bin/* 目 好 下 ， 然 后 用 以 下 命令 赋予 
其 可 执行 权限 : 


snakeninnysiMac:- snakeninny$ sudo chmod 777 
/opt/theos/bin/dpkg-deb 


6. 配 置 Theos NIC templates 


Theos NIC templates 内 置 了 5 种 Theos 工 程 类 型 
的 模板 ， 方 便 创 建 多 样 的 Theos 工 程 。 除 此 以 外 ， 
还 可 以 从 https://github.com/DHowett/theos-nic- 
templates/archive/masterzip 获 取 额 外 的 5 种 模板 ， 
下 载 后 将 解压 得 到 的 5 个 :tar 文件 复制 
5$l|*/opt/theos/templates/iphone/" F EHET ° 


3.23 Theos HENE 


1. 创 建 工 程 


1) 更 改 工 作 目 好 至 常用 的 OS 工程 日 录 (如 
笔者 的 是 “/Users/snakeninny/Code/”) ， 然 后 输 


A“/opt/theos/bin/nic.pl”, JHz/JNIC (New Instance 
Creator) , UF: 


snakeninnysiMac:Code snakeninny$ /opt/theos/bin/nic.pl 
NIC 2.0 - New Instance Creator 


[1.] iphone/application 

[2.] iphone/cydget 

[3.] iphone/framework 

[4.] iphone/library 

[5.] iphone/notification center widget 
[6.] iphone/preference bundle 

[7.] iphone/sbsettingstoggle 

[8.] iphone/tool 

[9.] iphone/tweak 


[10.] iphone/xpc service 


可 以 看 到 ， 这 里 共有 10 种 模板 可 供 选择 ， 其 
中 1、4、6、8、9 是 Theos 的 自 带 模板 ，2、3、5、 
7、10 是 上 一 小 节 下 载 的 。 在 逆向 工程 初级 阶段 ， 
所 开发 程序 的 主要 类 型 是 tweak， 其 他 模板 的 用 法 
可 以 来 http://bbs.iosre.com 讨 论 交流 


2) 选择 “9”， 即 创建 一 个 tweak 工 程 ， 命 令 如 


Choose a Template (required): 9 


3) 输入 tweak 的 工程 名 称 ， 命 令 如 下 : 


Project Name (required): iOSREProject 


4) 输入 deb 包 的 名 字 (类 似 于 bundle 
identifier) ， 命 令 如 下 : 


Package Name [com.yourcompany.iosreproject]: 
com.iosre.iosreproject 


5) 输入 tweak 作 者 的 名 字 ， 命 令 如 下 : 


Author/Maintainer Name [snakeninny]: snakeninny 


6) 输入 “MobileSubstrate Bundle filter”, tif 
是 tweak 作 用 对 和 象 的 bundle identifier, Atal P: 


[iphone/tweak] MobileSubstrate Bundle filter 
[com.apple.springboard]: com.apple.springboard 


7) 输入 tweak 安 装 完 成 后 需要 重启 的 应 用 ， 
以 进程 名 表示 ， 如 下 : 


[iphone/tweak] List of applications to terminate upon 


installation (space-separated, '-' for none) [SpringBoard]: 
SpringBoard 

Instantiating iphone/tweak in iosreproject/... 

Done. 


徐 单 的 7 步 完 成 之 后 ， 一 个 名 为 iosreproject 的 
文件 夹 束 在 当前 目 杂 生成 了 ， 该 文件 夹 里 就 是 刚 
创建 的 tweak 工 程 。 


2. 定 制 工 程 文件 


用 Theos 创 建 tweak 工 程 非常 方便 ， 但 和 催 洁 的 工 
程 框架 下 目前 还 是 些 粗 糙 的 内 容 ， 需 要 进一步 加 
工 相 天 的 文件 。 先 来 看 看 刚刚 生成 的 工程 目录 ， 
如 下 : 


snakeninnysiMac:iosreproject snakeninny$ ls -1 


total 40 

-rw-r--r-- 1 snakeninny 
-rw-r--r-- 1 snakeninny 
-rw-r--r-- 1 snakeninny 
-rw-r--r-- 1 snakeninny 


iOSREProject.plist 
lrwxr-xr-x 1 snakeninny 
/opt/theos 


staff 
staff 
staff 
staff 


staff 


184 
1045 
223 
57 


11 


Dec 
Dec 
Dec 
Dec 


Dec 


3 
3 
3 
3 


3 


99: 
99: 
99: 
99: 


99: 


05 
05 
05 
05 


05 


Makefile 
Tweak. xm 
control 


theos -» 


除去 一 个 指 同 Theos 目 条 的 从 号 链 接 外 ， 只 
4 个 文件 ， 从 工程 复杂 度 来 说 完全 不 会 吓 跑 初学 
着， 反而 会 让 我 们 路 路 欲 讯 ，Theos 的 产品 体验 做 


得 很 好 。 


古语 云 : 


“一 粒 米 中 藏 世界 ， 半 边 锅 内 煮 乾 


韩 ”。4 根 顶 梁 柱 束 足以 撑 起 tweak 的 毛坯 房 ， 但 党 
党 的 tweak 离 不 开 我 们 的 精装 修 ， 这 4 个 文件 的 内 


AA ERA AN! 


(1) Makefile 


Makefile 文 件 指定 工程 用 到 的 文件 、 框 架 、 库 
等 信息 ， 将 整个 过 程 目 动 化 。iOSREProject 的 


Makefile 内 容 如 下 : 


include theos/makefiles/common.mk 
TWEAK NAME - iOSREProject 
iOSREProject FILES - Tweak.xm 
include $(THEOS MAKE PATH)/tweak.mk 
after-install:: 
install.exec "killall -9 SpringBoard" 


FEIER TTE UE o 
include theos/makefiles/common.mk 
固定 写法 ， 不 要 更 改 。 


TWEAK NAME = iOSREProject 


tweak 的 名 字 ， 即 用 Theos 创 建 工程 时 指定 
的 “Project Name”， 跟 control 文 件 中 的 *Name” 字 段 


对 应 ， 不 要 更 改 。 


iOSREProject FILES = Tweak.xm 


tweak 包 含 的 源 文件 〈 不 包括 头 文件 ， 多 个 
文件 间 以 空格 分 隔 ， 如 | 


iOSREProject FILES = Tweak.xm Hook. xm New.x ObjC.m ObjC++.mm 


可 以 核 需 更 改 。 


include $(THEOS MAKE PATH)/tweak.mk 


根据 不 同 的 Theos 工 程 类 型 ， 通 过 include 命 令 
指定 不 同 的 .mk 文件 ， 在 诸 同 工程 初级 阶段 ， 我 们 
开发 的 一 般 是 Application、Tweak 和 Tool 三 种 类 型 
的 程序 ， 它 们 对 应 的 .mk 文件 分 别 是 


application.mk、tweak.mk 和 toolmk， 可 以 按 需 更 
改 。 


after-install:: 
install.exec "killall -9 SpringBoard" 


TEE REVISE TE RUP HEC IO PLI ERI E H AS 
AIDA T ——t8 tweak kR Z Ja RTH 
SpringBoard 进 程 ， 好 让 CydiaSubstrate 在 进程 启动 
时 加 载 对 应 的 dylib。 


是 不 是 非常 简单 ? Makefile 里 的 默认 内 容 确实 
非 冲 简单， 但 有 点 简单 过 头 了 。 如 何 指定 SDK 有 彼 
本 ? 怎么 导入 framework? jlib 文 件 在 哪里 链接 ? 作 
为 iDOS 开 发 者 的 你 一 定 会 提出 这 些 问 题 。 别 急 别 
急 ， 面 包 会 有 的 ， 牛 奶 也 会 有 的。 


ARCHS = armv7 arm64 


ETE BITE Zen AIF A eR, X 
间 以 空格 分 隅 。 值 得 注意 的 是 ， 米 用 arm64 染 构 的 
App 不 兼容 armv7/armv7s 架 构 ， 必 须 适 配 arm64 织 
构 的 dylib。 在 绝 大 多 数 情 况 下 ， 这 里 固定 卉 


&“arm7 arm64 4T f ° 


.指定 SDK 版 本 


TARGET = iphone:Base SDK:Deployment Target 


比如 : 


TARGET = iphone:8.1:8.0 


上 面 的 语句 即 指 定 采用 8.1 版 本 的 SDK， 且 发 
布 对 象 为 OS 8.0 及 以 上 上 版本。 也 可 以 把 *Base 


SDK” 设 置 为 “latest”， 指 定 以 Xcode 附 种 的 最 新 版 
本 SDK 编 译 ， 如 : 


TARGET = iphone:latest:8.0 


-= A framework 


iOSREProject FRAMEWORKS - framework name 


例如 1: 


iOSREProject FRAMEWORKS = UIKit CoreTelephony CoreAudio 


上 上面 的 语句 所 展示 的 功能 没什么 多 说 的 ， 但 
既然 是 tweak 开 发 ， 很 多 朋友 天 注 的 应 该 是 如 何 导 
入 private framework 吧 ? 很 价 单 ， 用 下 面 的 语句 即 
可 : 


iOSREProject PRIVATE FRAMEWORKS = private framework name 


例如 1: 


iOSREProject PRIVATE FRAMEWORKS = AppSupport ChatKit IMCore 


虽然 只 是 多 了 个 “PRIVATE”， 但 有 一 点 要 注 
意 : private framework 是 AppStore 开 发 所 不 允许 使 
用 的 ， 它 的 内 容 在 每 个 iOS 版 本 之 间 可 能 发 生变 
化 ， 在 导入 之 前 ,一 定 要 确定 导入 的 private 
framework 人 确实 存在 。 举 一 个 例子 ， 如 果 你 的 tweak 
打算 兼容 iOS 7 和 iOS 8 两 个 版 本 ， 那 么 Makefile 可 
写成 如 下 内 容 : 


ARCHS = armv7 arm64 
TARGET = iphone:latest:7.0 
include theos/makefiles/common.mk 
TWEAK NAME - iOSREProject 
iOSREProject FILES - Tweak.xm 
iOSREProject PRIVATE FRAMEWORK - BaseBoard 
include $(THEOS MAKE. PATH)/tweak.mk 
after-install:: 

install.exec "killall -9 SpringBoard" 


上 面 的 语句 可 以 成 功 编译 和 链接 ， 并 不 会 报 
E ° 但是， 因为 BaseBoard 这 个 private framework H 
存在 于 8.0 及 以 上 版 本 的 SDK 里 ， 在 iOS 7 里 是 没有 
的 ， 所 以 这 个 tweak 在 iOS 7 中 会 因 找 不 到 
framework 而 无 法 正常 工作 。 这 种 情况 可 以 通过 弱 
链接 〈 谷 歌 搜 索 “makefile weak linking”) 或 
dlopen0、dlsym0 和 dlcloseO 系 列 函 数 动态 调用 
private framework 来 解决 。 


链接 Mach-O 对 象 (Mach-O object) 


iOSREProject LDFLAGS = -1x 


Theos 采 用 GNU Linker 来 链接 Mach-O 对 象 ， 包 
括 .dylib、.a 和 .o。 在 Terminal 中 输入 “man ld”, XE 
位 到 “-]x” 部 分 ， 它 是 这 么 写 的 : 


“-Ix This option tells the linker to search for 
libx.dylib or libx.a in the library search path.If string x 
is of the form y.o,then that file is searched for in the 
same places,but without prepending lib'or 


appending .a'or .dylib'to the filename." 


大 致意 思 是 说 ，-]x 代 表 链 接 libx.a 或 
libx.dylib， 即 给 “x” 加 上 ”lib” 的 前 绥 ， 以 
及“.a” 或 “.dylib” 的 后 维 ; 如 来 x 古 “y.0” 的 形式 ， 则 
直接 链接 xyxo， 不 加 任何 前 绥 或 后 缀 。 由 网 3-3 可 
知 ，iOS 文 持 链 接 的 Mach-O 对 象 全 是 
以 libx.dylib” 和 “y.o” 形 式 命名 的 ， 完 全 兼容 GNU 


Linker ° 


Choose frameworks and libraries to add: 


libBBUpdaterDynamic.dylib 
libbsm.O.dylib 
libbsm.dylib 
libbz2.1.0.dylib 
libbz2.dylib 
libc++.1.dylib 
libc++.dylib 
libc++abi.dylib 
libc.dylib 
libcache.dylib 
libcharset.1.0.0.dylib 
libcharset.1.dylib 
libcharset.dylib 
libcmph.dylib 


libcommonCrypto.dylib 
`- libcompiler. rt.dylib 


Add Other... Cancel 


K|3-3 ”链接 Mach-O 对 象 


这 样 ， 链 接 Mach-O 对 象 就 很 方便 了 “。 例 如 ， 
要 链接 libsqlite3.0.dylib 、1libz.dylib 和 dylib1.o， 像 


下 面 这 么 写 束 可 以 了 : 


iOSREProject LDFLAGS = -1z -lsqlite3.0 -dylibi.o 


稍 后 还 有 一 个 字段 需要 介绍 ， 但 一 般 来 说 ， 
Makefile 中 定义 了 以 上 字段 整 已 经 完全 够 用 了 ; 更 
详细 的 Makefile 介 绍 ， 可 以 参阅 
http:/www.gnu.org/software/make/manual/html_node 


/Makefiles.html ° 
(2) Tweak.xm 


用 Theos 创 建 tveak 工 程 ， 默 认 生成 鸭 源 文 件 是 
Tweak.xm。“xm” 中 的 “x” 代 表 这 个 文件 支持 Logos 
语法 ， 如 采 后 缀 名 是 单 独 一 个 “xz”"， 说 明 源 文件 文 
持 Logos 和 C 语 法 ; UMRE RAE xm”, WH 


fF SCRELogosfIC/C-- iE, Sm” Al “mm” AX Fl 
类 似 。Tweak.xm 的 内 容 如 下 : 


/* How to Hook with Logos 
Hooks are written with syntax similar to that of an 
Objective-C Qimplementation. 
You don't need to #include <substrate.h>, it will be done 
automatically, as will 
the generation of a class list and an automatic constructor. 
?$ hook ClassName 
// Hooking a class method 
+ (id)sharedInstance { 
return %orig; 
} 


// Hooking an instance method with an argument. 
- (void)messageName:(int)argument { 

%log; // Write a message about this call, including its 
class, name and arguments, to the system log. 

?60rig; // Call through to the original function with 
its original arguments. 

%Orig(nil); // Call through to the original function 
with a custom argument. 

// If you use %orig(), you MUST supply all arguments 
(except for self and cmd, the automatically generated ones.) 


// Hooking an instance method with no arguments. 
- (id)noArguments ( 

?6109g; 

id awesome = %orig; 

[awesome doSomethingElse]; 

return awesome; 


// Always make sure you clean up after yourself; Not doing so 
could have grave consequences! 

?6end 

TO 


这 束 是 最 基本 的 Logos 语 法 ， 包 售 %hook、 
%log、%origj 广 3 个 预 处 理 指令 ， 它 们 的 作用 如 
i 


-%hook 


指定 需要 hook 的 class， 必 须 以 %end 结 尾 ， 如 
下 : 


%hook SpringBoard 
- (void) menuButtonDown:(id)down 


NSLog(Q"You've pressed home button."); 
%orig; // call the original menuButtonDown: 


%end 


这 上段 代码 的 意思 是 钓 住 (hook) SpringBoard 
类 里 的 menuButtonDown: 函 数 ， 先 将 一 句 话 写 入 
syslog， 再 执行 钞 数 的 原始 操作 。 


‘%log 


该 指令 在 %hook 内 部 使 用 ， 将 函数 的 类 名 、 
数 等 信息 写 入 syslog， 可 以 以 %log([(<type>) 
<expr>,…]) 的 格式 追加 其 他 打印 信息 ， 如 下 : 


%hook SpringBoard 
- (void) menuButtonDown:(id)down 


%log((NSString *)@"iOSRE", (NSString *)@"Debug"); 
%orig; // call the original _menuButtonDown: 


%end 


打印 结果 如 下 : 


Dec 3 10:57:44 FunMaker-5 SpringBoard[786]: -[<SpringBoard: 
0x150eb800>  menuBu- 

ttonDown : 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 
十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 


Timestamp: 75607608282 

Total Latency: 20266 us 

SenderID: 0x0000000100000190 

BuiltIn: 1 

AttributeDataLength: 16 

AttributeData: 01 00 00 00 00 00 OO OO OO OO 00 
00 00 00 00 00 

ValueType: Absolute 

EventType: Keyboard 

UsagePage: 12 

Usage: 64 

Down: 1 


十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 


十 十 十 十 十 十 十 十 十 十 
]: iOSRE, Debug 


“Yoorig 


该 指令 在 %hook 内 部 使 用 ， 执 行 被 钓 住 
(hook) 的 函数 的 原始 代码 ， 如 下 ; 


%hook SpringBoard 
- (void) menuButtonDown:(id)down 


NSLog(Q"You've pressed home button."); 
%orig; // call the original menuButtonDown: 


%end 


如 果 去 掉 %orig， 那 么 原始 函数 不 会 得 到 执 
行 ， 例 如 : 


%hook SpringBoard 
- (void) menuButtonDown: (id)down 


NSLog(Q"You've pressed home button but it's not 
functioning."); 


%end 


还 可 以 利用 %orig 更 改 原始 函数 的 参数 ， 例 
Al: 


%hook SBLockScreenDateViewController 
- (void)setCustomSubtitleText:(id)argi withColor:(id)arg2 


?60rig(Q"iOS 8 App Reverse Engineering", arg2); 


%end 


ORE, TEBEZ BUR ions H 8383877 SL 
变 成 了 如 图 3-4 所 示 的 样子 。 
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18M5 


iOS 8 App Reverse 上 ngineeri0g 


a 


> as 
# y 


局 


inlock 


图 3-4 ”更 改 锁 屏 界面 


ER f %hook ^ %log ` 96origL 7h, Logos'$ Hj 
的 预 处 理 指令 还 有 %group、%init、%ctor ^ 


%new、%c， 下 面 继续 逐一 介绍 。 


"ogroup 


该 指令 用 于 将 9%hook 分 组 ， 便 于 代码 管理 及 按 
条 件 初 始 化 分 组 ( 舍 义 稍 后 有 详细 解释 ) ， 必 须 
以 %end 结 尾 ; 一 个 %group 可 以 包含 多 个 %hook， 
所 有 不 属于 某 个 自 定义 group 的 %hook 会 被 隐 式 归 
类 到 %group_ungrouped 中 。%group 的 用 法 如 下 : 


%group i0S7Hook 
%hook i0S7Class 
- (id)iOS7Method 


id result = %orig; 
NSLog(@"This class & method only exist in iOS 7."); 
return result; 

1 

?6end 

%end // iOS7Hook 

%group i0S8Hook 

?$ hook i0S8Class 

- (id)iOS8Method 

{ 
id result = %orig; 
NSLog(@"This class & method only exist in iOS 8."); 
return result; 


?6end 

%end // i0S8Hook 
%hook SpringBoard 
-(void)powerDown 


{ 


%orig; 


%end 


这 上 段 代码 的 意思 是 在 %group iOS7Hook# £5 f 
iOS7ClassHJiOS7Method， 在 %group iOS8HookH 
$3f310S8ClassfJiOS8MethodEN Zi, XI 
在 %group_ungrouped 中 钧 住 SpringBoard 类 的 
powerDownEN 2X ° 


需要 注意 的 是 ，%group 必 须 配 合 下 面 的 %init 
使 用 才能 生效 。 


“Yoinit 


该 指令 用 于 初始 化 某 个 %group， 必 须 
在 %hook 或 %ctor 内 调用 ; 如果 市 参数 ， 则 初始 化 
指定 的 group， 如 宁 不 市 参数， 则 初始 化 
_ungrouped， 如 下 : 


#ifndef kCFCoreFoundationVersionNumber iOS 8 0 

#define kCFCoreFoundationVersionNumber iOS 8 0 1140.10 
#endif 

%hook SpringBoard 

- (void)applicationDidFinishLaunching:(id)application 


%Orig; 

%init; // Equals to %init(_ungrouped ) 

if (kCFCoreFoundationVersionNumber >= 
kCFCoreFoundationVersionNumber iOS 7 0 && 
kCFCoreFoundationVersionNumber « 
kCFCoreFoundationVersionNumber iOS 8 0) %init(i0S7Hook) ; 

if (kCFCoreFoundationVersionNumber >= 
kCFCoreFoundationVersionNumber iOS 8 0) init(iOS8Hook); 


j 


%end 


只 有 调用 了 %init， 对 应 的 %group 才 能 起 作 
H, JEJE ! 


‘Qoctor 


tweakHJconstructor， 完 成 初始 化 工作 ;， 如 果 
不 显 式 定义 ，Theos 会 目 动 生成 一 个 %ctor， 并 在 其 
中 调用 %init(_ungrouped)。 因 此 ， 


%hook SpringBoard 
- (void)reboot 


NSLog(@"If rebooting doesn't work then I'm 


screwed."); 
?60rig; 


%end 


可 以 成 功 生 效 ， 因 为 Theos 隐 式 定 义 了 如 下 内 


%init(_ungrouped); 


%hook SpringBoard 
- (void)reboot 
{ 
NSLog(Q"If rebooting doesn't work then I'm 
screwed."); 
?60rig; 


%end 
96c tor 


// Need to call %init explicitly! 


里 的 9%hook 无 法 生效 ， 因 为 这 里 显 式 定义 

了 %ctor， 却 没有 显 式 调用 %init， 
%group(_ungrouped) 不 起 作用 。%ctor 一 般 可 以 用 
来 初始 化 %group， 以 及 进行 MSHookFunction 等 探 
作 ， 如 下 : 


#ifndef kCFCoreFoundationVersionNumber iOS 8 0 
#define kCFCoreFoundationVersionNumber iOS 8 0 1140.10 
#endif 
%c tor 
{ 
%init; 
if (kCFCoreFoundationVersionNumber >= 
kCFCoreFoundationVersionNumber_iOS_7_0 && 
kCFCoreFoundationVersionNumber < 
kCFCoreFoundationVersionNumber iOS 8 0) %init(i0OS7Hook) ; 
if (kCFCoreFoundationVersionNumber >= 
kCFCoreFoundationVersionNumber iOS 8 0) %init(i0OS8Hook) ; 
MSHookFunction((void *)&AudioServicesPlaySystemSound, 
(void 
*)&replaced AudioServicesPlaySystemSound, 
(void 
**)&original AudioServicesPlaySystemSound); 


注意 ，%ctor 不 需要 以 %end 结 尾 。 


-Yonew 


TE%hookA Afi FH, 286—71- 3/8 class Dnt ERI 
数 ， 功 能 与 class_addMethod 相 | 同 。 它 的 用 法 如 
下; 


%hook SpringBoard 
?96n ew 
- (void)namespaceNewMethod 


NSLog(@"We've added a new method to SpringBoard."); 


%end 


有 的 朋友 可 能 会 问 ，Objective-C 的 category 语 
法 也 可 以 给 现 有 class 添 加 新 函数 ， 为 什么 还 需 
要 %new 昵 ? ASC ARE F category 
class_addMethod 的 区 别 ， 前 郑 是 静态 的 ， 而 后 着 
是 动态 的 。 那 么 在 这 种 情况 下 ， 静 态 还 是 动态 ， 
有 什么 天 系 呢 ? 当然 有 关系 ， 尤 其 是 当 class 来 目 
某 个 可 执行 文件 的 时 候 。 举 个 例子 ， 上 面 的 代码 


给 SpringBoard 类 添加 了 一 个 新 方法 ， 如 果 使 用 
category, 代码 应 该 古 下 面 这 样 : 


Qinterface SpringBoard (iOSRE) 

- (void)namespaceNewMethod; 

Qend 

Qimplementation SpringBoard (iOSRE) 
- (void)namespaceNewMethod 


NSLog(@"We've added a new method to SpringBoard."); 


Qend 


JR MEE EAS, Ste Bll “error: 
cannot find interface declaration for‘SpringBoard’” A’) 


theta lash, BUS eas tk AE] SpringBoard2e Ay 
义 。 可 以 构造 一 个 SpringBoard 的 定义 ， 骗 过 编译 
如 下 : 


@interface SpringBoard : NSObject 
Qend 

Qinterface SpringBoard (iOSRE) 

- (void)namespaceNewMethod; 

Qend 

Qimplementation SpringBoard (iOSRE) 
- (void)namespaceNewMethod 


{ 


NSLog(@"We've added a new method to SpringBoard."); 
} 
Qend 


EDRF, MARIRE, UP: 


Undefined symbols for architecture armv7: 
" OBJC_CLASS_$_SpringBoard", referenced from: 
l OBJC $ CATEGORY SpringBoard $ iOSRE in 
Tweak.xm.b1748661.0 


ld: symbol(s) not found for architecture armv7 


clang: error: linker command failed with exit code 1 (use 


-V 
to see invocation) 


1d 找 不 到 “SpringBoard” 的 定义 。 一 般 来 说 ， 
iOS 程 序 员 在 磁 到 这 个 错误 时 的 第 一 反应 是 : “是 
不 是 态 了 导入 哪个 framework? ”， 但 是 转念 一 想 ， 
SpringBoard 类 是 SpringBoard 这 个 App 里 的 一 个 
类 ， 而 不 是 一 个 framework， 要 怎么 导入 ? 现在 你 


是 不 是 觉得 %new 非 党 可 爱 了 呢 ? 


‘00C 


该 指令 的 作用 等 同 于 objc_getClass 或 
NSClassFromString， 即 动态 获取 一 个 类 的 定义 ， 
在 %hook 或 %ctor 内 使 用 。 


Logos 的 预 处 理 指令 还 有 9%subclass 
和 %config， 但 笔者 到 现在 也 没有 用 过 ， 感 兴趣 的 
读者 可 以 移 步 
http://iphonedevwiki.net/index.php/Logos 一 探究 竟 ， 
也 可 以 来 http:Wbbs.iosre.com 跟 大 家 一 起 讨论 


(3) control 


control 文 件 记录 了 deb 包 管理 系统 所 需 的 基本 
信息 ， 会 彼 打 包 进 deb 包 里 。iOSREProject 里 
control 文 件 的 内 容 如 下 : 


Package: com.iosre.iosreproject 
Name: iOSREProject 
Depends: mobilesubstrate 


Version: 0.0.1 

Architecture: iphoneos-arm 

Description: An awesome MobileSubstrate tweak! 
Maintainer: snakeninny 

Author: snakeninny 

Section: Tweaks 


其 中 : 


Package 字段 用 于 描述 这 个 deb 包 的 名 字 ， 采 
用 的 命名 方式 同 bundle identifier 类 似 ， 均 为 反问 
DNS 格式 ， 可 以 按 需 更 改 ; 


Name 字段 用 于 摘 述 这 个 工程 的 名 字 ， 可 以 按 
需 更 改 ; 


:Depends 字 上段 用 于 接 述 这 个 deb 包 的 “ 依 
赖 *。“ 依 赖 * 指 的 是 这 个 程序 运行 的 基本 条 件 ， 可 
以 填写 固件 版 本 或 其 他 程序 ， 如 果 当 前 iOS 不 满 
足 “ 依 赖 * 中 定义 的 条 件 ， 则 此 tweak 无 法 正常 运 
行 。 如 


Depends: mobilesubstrate, firmware (»- 8.0) 


表示 当前 i9S 版 本 必须 在 8.0 以 上 ， 且 必须 安 和 
CydiaSubstrate， 才 能 正常 运行 这 个 tweak， 可 以 按 
需 更 改 。 


Version 字段 用 于 描述 这 个 deb 包 的 版 本 号 ， 可 
以 按 需 更 改 ; 


Architecture 字 上 段 用 于 换 述 deb 包 安 洲 的 目标 设 
FRW, DREN; 


:Description 字段 是 deb 包 的 简单 介绍 ， 可 以 按 
需 更 改 ; 


:Maintainter 罕 段 用 于 朱 述 deb 包 的 维护 人 ， 例 
如 BigBoss 产 中 所 有 deb 包 的 维护 人 均 为 BigBoss， 
而 非 软 件 作者 ， 可 以 按 需 更 改 ; 


Author 字段 用 于 描述 tweak 的 作者 (注意 与 
Maintainer 的 区 别 ) ， 可 以 按 需 更 改 ; 


:Section 字 段 用 于 描述 deb 包 所 属 的 程序 类 别 ， 
不 要 更 改 。 


control 文 件 中 可 以 目 定 义 的 字段 还 有 很 多 ,但 

上 上面 这 些 信息 束 已 经 足够 了 。 更 全 面 的 说 明 可 以 
参阅 debian 的 官方 网 站 

(http://www.debian.org/doc/debian-policy/ch- 
controlfields.html) 或 留意 其 他 deb 包 里 的 control 文 
件 。 值 得 注意 的 是 ，Theos 在 打包 deb 时 会 对 control 
文件 作 进一步 处 理 ， 上 面 的 control 文 件 在 得 到 处 理 
后 内 容 变 为 : 

ie cup ie reme 

Depends: mobilesubstrate 


Architecture: iphoneos-arm 
Description: An awesome MobileSubstrate tweak! 


Maintainer: snakeninny 
Author: snakeninny 
Section: Tweaks 
Version: 0.0.1-1 
Installed-Size: 104 


这 里 Theos 更 改 了 Version 字 段 ， 用 以 表示 
Theos 的 打包 次 数 ， 方 便 管 理 ， 增 加 了 一 个 
Installed-SizeF E, H L\tiulideb 27 B fe 
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control 文 件 中 的 很 多 信息 直接 体现 在 Cydia 
中 ， 如 图 3-5 所 示 ， 大 家 可 以 对 比 看 看 。 


eeeco HRI - 2. 09:21 9 80% NN) 


€ Installed Details Remove 


Pp iOSREProject 
p 0.0.1-2 


| 2 Change Package Settings > 


| » Author snakeninny > 


An awesome MobileSubstrate tweak! 


installed Package 
=] Version 
| x, Filesystem Content 


com.losre.iosreproject 
- Tweaks 


Installed 


图 3-5 ”control 信 息 在 Cydia 中 的 体现 


(4) iOSREProject.plist 


这 个 plist 文 件 的 作用 和 App 中 的 Info.plist 类 
似 ， 它 记录 了 一 些 配置 信息 ， 摘 述 了 tweak 的 作用 
范围 。 我 们 可 以 用 plutil， 也 可 以 用 Xcode 来 编辑 


> 


E [o 


iOSREProject.plist 的 最 外 层 是 一 个 dictionary， 
只 有 一 个 名 为 “Filter 的 键 ， 如 图 3-6 所 示 。 


iOSREProject.plist ) No Selection 


Type Value 
Dictionary (1 item) 


> Filter Dictionary (1 item 


图 3-6 iOSREProject.plist 
Filter 下 是 一 系列 array， 可 以 分 为 三 类 。 


.Bundles， 指 定 若 干 bundle 为 tweak 的 作用 对 
象 ， 如 图 3-7 所 示 。 


Hg iOSREProject.plist ) No Selection 
Key 
v Root 
v Filter 
Y Bundies 
Item 0 
Item 1 
Item 2 


Type Value 

Dictionary (1 item) 
Dictionary (1 item) 
Array (3 items) 


String com.naken.smsninja 


String com.apple.AddressBook 


String com.apple.springboard 


Él3-7 Bundles 


按照 图 3-7 中 的 配置 ，tweak 有 的 作用 对 象 是 三 个 


bundle, BHSMSNinja、 AddressBook.framework 和 和 


SpringBoard ° 


Classes， 指 定 和 若干 class 为 tweak 的 作用 对 和 象 ， 
如 图 3-8 所 示 。 


BS iOSREProject.plist » No Selection 
Key 
v Root 
v Filter 
v Classes 
Item 0 
Item 1 
Item 2 


Type Value 
Dictionary (1 item) 


Dictionary (1 item) 

Array (3 items) 

String NSString 

String SBAwayController 
String SBiconModel 


图 3-8 Classes 


按照 图 3-8 的 配置 ，tweak 的 作用 对 象 是 三 个 
class， 即 NSString、SBAwayController 和 


SBIconModel ° 


*Executables, FEA 


日 定 知 干 可 执行 文件 为 tweak 的 
作用 对 象 ， 如 图 3-9 所 示 。 


按照 图 3-9 中 的 配置 ，tweak 的 作用 对 象 是 三 个 
可 执行 文件 ， 即 callservicesd、imagent 和 


mediaserverd ? 


iOSREProject.plist » No Selection 
Key 


Type 
vx Root Dictionary 
v Filter 


Dictionary 


Y Executables 
Item 0 
Item 1 
Item 2 


(1 item) 
Array (3 items) 
String callservicesd 
String 


imagent 


String mediaserverd 


图 3-9  Executables 


这 三 类 array 可 以 混合 使 用 ， 如 图 3-10 所 示 。 


iOSREProject.plist » No Selection 
Key Type 
Y Root Dictionary 
v Filter Dictionary 
Mode String 
Y Bundies Array 


Item 0 String com.apple.springboard 
Y Classes Array (1 item) 

Item 0 String TUCallServicesCallController 
Y Executables Array (1 item) 

Item 0 String callservicesd 


图 3-10 ”混合 三 类 array 


注意 ， 当 Filter 下 有 不 同类 的 array 时 ， 需 要 添 
加 一 个 “Mode: Any’ HH EX ° 4 Filter F Aarray K 
有 一 类 时 ， 不 需要 添加 “Mode: Any” 键 值 对 。 


3. 编 译 + 打 包 + 安 关 


AMEA T TheosH] zija, (H NICENE 
了 第 一 个 tweak 工 程 ， 还 逐一 解 谈 了 工程 的 组 成 文 
件 ， 那 么 现在 束 剩 下 最 后 一 步 一 一 编译 了 。 完 成 
这 一 步 ， 一 个 tweak 吏 算 正式 完成 一 一 我 们 可 以 把 
tweak 安 疙 到 设备 上 ， 开 始 周 而 复 始 的 “safe 
mode” 之 旅 了， 是 不 是 很 期 每 呢 ? 


(1) 编译 


Theos 采 用 “make” 命 令 来 编译 Theos 工 程 。 在 


Theos 工 程 目录 下 运行 make 命 令 ， 如 下 : 


snakeninnysiMac:iosreproject snakeninny$ make 
Making all for tweak iOSREProject... 
Preprocessing Tweak.xm... 

Compiling Tweak.xm... 

Linking tweak iOSREProject... 

Stripping iOSREProject... 

Signing iOSREProject... 


从 输出 的 信息 看 ，Theos 完 成 了 预 处 理 、 编 
、 签 名 等 一 系列 动作 ， 此 时 会 发 现 当 前 日 好 下 
ZT — SRN “obj? EXE, HEP: 


snakeninnysiMac:iosreproject snakeninny$ ls -1 
total 32 


-rw-r--r-- 1 snakeninny staff 262 Dec 3 09:20 Makefile 
-rw-r--r-- 1 snakeninny staff 0 Dec 3 11:28 Tweak.xm 
-rw-r--r-- 1 snakeninny staff 223 Dec 3 09:05 control 
-rw-r--r--Q 1 snakeninny staff 175 Dec 3 09:48 


iOSREProject.plist 

drwxr-xr-x 5 snakeninny staff 170 Dec 3 11:28 obj 
lrwxr-xr-x 1 snakeninny staff 11 Dec 3 09:05 theos -» 
/opt/theos 


里 面 有 一 个 .dylib 文 件 ， 如 下 : 


snakeninnysiMac:iosreproject snakeninny$ ls -1 ./obj 
total 272 

-rw-r--r-- 1 snakeninny staff 33192 Dec 3 11:28 
Tweak.xm.b1748661.0 

-rwxr-xr-x 1 snakeninny staff 98784 Dec 3 11:28 
iOSREProject.dylib 


它 束 是 tweak 的 核心 。 


(2) 打包 


打包 使 用 的 “make package” AAR H Theos 
本 号 ， 其 实 束 是 移 执 行 “make” 命 令 ， 然 后 再 执 
行 “dpkg-deb” 命 令 ， 如 下 : 


snakeninnysiMac:iosreproject snakeninny$ make package 
Making all for tweak iOSREProject... 

Preprocessing Tweak.xm... 

Compiling Tweak.xm... 

Linking tweak iOSREProject... 

Stripping iOSREProject... 

Signing iOSREProject... 
Making stage for tweak iOSREProject... 

dm.pl: building package 'com.iosre.iosreproject' in 
"./com.iosre.iosreproject 0.0.1-7 iphoneos-arm.deb'. 


士 面 生 成 了 一 个 名 
为 “com.iosre.iosreproject_0.0.1-7_iphoneos- 


arm.deb” 的 文件 ， 这 束 是 可 以 最 终 发 布 的 妇 装 包 。 


“make package” 命 令 还 有 一 个 很 重要 的 功能 。 
在 执行 完 “make package” 之 后 ， 除 了 “obj” 文 件 夹 
外 ， 你 会 发 现 tweak 工 程 目录 下 还 生成 了 一 个 “_” 文 
(PE, WE: 


snakeninnysiMac:iosreproject snakeninny$ ls -1 
total 40 

-rw-r--r-- 1 snakeninny staff 262 Dec 
-rw-r--r-- 1 snakeninny staff 0 Dec 11:28 Tweak.xm 
drwxr-xr-x 4 snakeninny staff 136 Dec 11:35 


3 09:20 Makefile 
3 
3 
-rw-r--r-- 1 snakeninny staff 2396 Dec 3 11:35 
m 
3 
3 


com.iosre.iosreproject 0.0.1-7  iphoneos-arm.deb 

-rw-r--r-- 1 snakeninny staff 223 Dec 09:05 control 
-rw-r--r--Q 1 snakeninny staff 175 Dec 09:48 
iOSREProject.plist 

drwxr-xr-x 5 snakeninny staff 170 Dec 3 11:35 obj 
lrwxr-xr-x 1 snakeninny staff 11 Dec 3 09:05 theos -> 
/opt/theos 


UT MIE RKE TTAN? FFE, "TEUEUZ 
个 文件 来 ， 分别 是 “DEBIAN” 和 和 “Library”: 


snakeninnysiMac:iosreproject snakeninny$ ls -1 _ 

total 0 

drwxr-xr-x 3 snakeninny staff 102 Dec 3 11:35 DEBIAN 
drwxr-xr-x 3 snakeninny staff 102 Dec 3 11:35 Library 


其 中 *DEBIAN” 里 只 有 tweak 工 程 里 的 control 
文件 ，Theos 在 编译 过 程 中 向 control 文 件 里 稍稍 增 
加 了 几 个 字段 而 已 ， 如 下 : 


snakeninnysiMac:iosreproject snakeninny$ ls -1  /DEBIAN 
total 8 
-rw-r--r-- 1 snakeninny staff 245 Dec 3 11:35 control 


“Library” 的 目录 结构 如 图 3-11 所 示 。 


v 出 Library 
v [3 MobileSubstrate 
v [3 DynamicLibraries 


iOSREProject.dylib 
iOSREProject.plist 


图 3-11 Library H RER 
对 比 生 成 deb 的 包 内 容 : 


snakeninnysiMac:iosreproject snakeninny$ dpkg -c 
com.iosre.iosreproject 0.0.1-7 iphoneos-arm.deb 

drwxr-xr-x snakeninny/staff © 2014-12-03 11:35 ./ 

drwxr-xr-x snakeninny/staff © 2014-12-03 11:35 ./Library/ 
drwxr-xr-x snakeninny/staff © 2014-12-03 11:35 
./Library/MobileSubstrate/ 

drwxr-xr-x snakeninny/staff © 2014-12-03 11:35 
./Library/MobileSubstrate/DynamicLibraries/ 

-rwxr-xr-x snakeninny/staff 98784 2014-12-03 11:35 
./Library/MobileSubstrate/DynamicLibraries/iOSREProject.dylib 
-rw-r--r-- snakeninny/staff 175 2014-12-03 11:35 
./Library/MobileSubstrate/DynamicLibraries/iOSREProject.plist 


以 及 在 Cydia 中 iOSREProject 的 文件 系统 ， 如 
图 3-12 所 示 。 


eeeco HARET .- 11:48 
< Details Installed Files 


Library 
MobileSubstrate 
DynamicLibraries 
iOSREProject.dylib 
iOSREProject.plist 


图 3-12 iOSREProjectC fF AF 


可 以 看 到 ， 三 者 是 完全 相同 的 。 到 这 里 ， 你 
可 能 也 猜 到 了 ， 这 个 deb 包 其 实 束 是 
由 “DEBIAN” 提 供 debian 信 息 ，“Library” 提 供 实际 


文件 的 简单 组 合 。 事 实 上 ， 还 可 以 在 工程 目录 下 
创建 一 个 名 为 “layout”* 的 文件 夹 ， 然 后 把 工程 打包 
成 deb 并 安装 到 iOS 中 ， 此 时 “layout”* 中 的 所 有 文件 
会 被 解 包 到 iOS 文 件 系统 的 相同 位 置 (这 里 

的 “layout” 相 当 于 iOS 中 的 根 目 录 “/*) ， 这 极 大 扩 
充 了 deb 包 的 作用 范围 。 下 面 用 一 个 小 示例 伍 以 说 
HH o 


回 到 刚才 的 iOSREProject 中 ， 在 Terminal 中 输 
入 “make clean” 及 “rm*.deb”， 将 工程 恢复 到 最 初 的 
状态 ， 如 下 : 


snakeninnysiMac:iosreproject snakeninny$ make clean 

rm -rf ./obj 

rm -rf "/Users/snakeninny/Code/iosreproject/ " 
snakeninnysiMac:iosreproject snakeninny$ rm *.deb 
snakeninnysiMac:iosreproject snakeninny$ ls -1 

total 32 

-rw-r--r-- 1 snakeninny staff 262 Dec 3 09:20 Makefile 
-rw-r--r-- 1 snakeninny staff O Dec 3 11:28 Tweak.xm 
-rw-r--r-- 1 snakeninny staff 223 Dec 3 09:05 control 
-rw-r--r--Q 1 snakeninny staff 175 Dec 3 09:48 
iOSREProject.plist 


lrwxr-xr-x 1 snakeninny staff 11 Dec 3 09:05 theos -> 
/opt/theos 


然后 生成 一 个 空 的 "ayout” 目 未 ， 如 下 : 


snakeninnysiMac:iosreproject snakeninny$ mkdir layout 


并 在 “layout” 下 随便 放 一 些 空 文件 ， 如 下 : 


snakeninnysiMac:iosreproject snakeninny$ touch 
./layout/1. test 

snakeninnysiMac:iosreproject snakeninny$ mkdir 
./layout/Developer 

snakeninnysiMac:iosreproject snakeninny$ touch 
./layout/Developer/2.test 
snakeninnysiMac:iosreproject snakeninny$ mkdir -p 
./layout/var/mobile/Library/Preferences 
snakeninnysiMac:iosreproject snakeninny$ touch 
./layout/var/mobile/Library/Preferences/3.test 


最 后 用 “make package” 打 包 ， 并 将 生成 的 deb 
文件 找 贝 到 iOS 中 ， 用 iFile 安 装 。 然 后 在 Cydia 中 查 
看 iOSREProject 的 文件 系统 ， 如 图 3-13 所 示 。 


eeeco 中 国联 通 S > 42:08 


< Details Installed Files 


1.test 
Developer 
2.test 
Library 
MobileSubstrate 
DynamicLibraries 
iOSREProject.dylib 
iOSREProject.plist 
var 
mobile 
Library 
Preferences 
3.test 


Installed 


图 3-13 ”iOSREProject 文 件 系 统 


除 “DEBIAN” 以 外 的 所 有 文件 都 被 解 包 到 了 
iOS 文 件 系统 的 相同 位 置 ， 本 来 不 存在 的 中 间 文 件 


夹 也 被 目 动 创建 。deb 包 的 玄机 还 有 很 多 ， 这 里 也 
只 是 管 中 宁 豹 ， 更 全 面 的 介绍 请 移 步 
http://www.debian.org/doc/debian-policy， 官 方 文档 
总 是 最 好 的 学 习 资 料 。 
(3) 安装 

最 后 ， 有 要 把 这 个 deb 文 件 安 效 到 iO0S 中 去 。 安 
竣 的 方法 多 种 多 样 ， 这 里 介绍 两 种 最 具 代 表 性 
HJ: AIBA EAM A SITE o KERMA 
的 第 一 直觉 是 图 形 界面 一 定 比 命令 行 向 单 ， 那 
F, Bsc AeA RE © 

AG RIBERA 


这 个 方法 确实 简单 : 通过 iFunBox 等 软件 把 
deb 拖 到 iOS 里 去 ， 然 后 用 iFile 安 装 它 ， 最 后 重启 


IOS ° BAEHR BREA HME E, (BANLE E. 
太 多 ， 又 要 动 电脑 又 要 请 手机 ， 一 来 二 去 非常 党 
形 ， 并 不 适用 于 tweak 开 发 。 


A SAT BIE 


Oo 


这 个 方法 要 用 到 简单 的 ssh 命 令 ， 故 而 要 求 越 
狄 的 OS 安装 了 OpenSSH， 如 果 对 这 部 分 知识 不 了 
解 ， 请 完 快速 浏 宽 一 所 第 4 革 的 “OpenSSH” 部 分 
下 面具 体 介绍 安 疙 法 。 


首先 ， 需 要 在 Makefile 的 最 上 一 行 加 上 本 机 IP 
地 址 ， 如 下 : 


THEOS DEVICE IP = iOSIP 
ARCHS = armv7 arm64 
TARGET = iphone:latest:8.0 


然后 调用 “make package install” M S EA imi 


TERR- -RERA, WF: 


snakeninnysiMac:iosreproject snakeninny$ make package install 
Making all for tweak iOSREProject... 

Preprocessing Tweak.xm... 

Compiling Tweak.xm... 

Linking tweak iOSREProject... 

Stripping iOSREProject... 

Signing iOSREProject... 
Making stage for tweak iOSREProject... 
dm.pl: building package 'com.iosre.iosreproject:iphoneos-arm' 
in ^'./com.iosre.iosreproject 0.0.1-15 iphoneos-arm.deb' 
install.exec "cat » /tmp/ theos install.deb; dpkg -i 
/tmp/ theos install.deb && rm /tmp/ theos install.deb" « 
"./com.iosre.iosreproject 0.0.1-15 iphoneos-arm.deb" 
rootQiOSIP's password: 
Selecting previously deselected package 
com.iosre.iosreproject. 

(Reading database ... 2864 files and directories currently 
installed.) 
Unpacking com.iosre.iosreproject (from 
/tmp/ theos install.deb) 
Setting up com.iosre.iosreproject (0.0.1-15) 
install.exec "killall -9 SpringBoard" 

rootQiOSIP's password: 


KY Efe n] DE SJ, Theos S22 te 
中 要 求 我 们 和 输入 两 次 root 密 码 。 虽 然 多 次 输入 密码 
给 人 很 安全 的 感觉 ， 但 实在 是 太 麻 烦 了 “。 好 在 通 
过 设置 OS 的 authorized_keys 可 以 省 略 SSH 输 密码 


的 步骤 ， 计 “make package install* 真 正 地 从 “一 只 多 
脚 虫 > 变 成 “一 条 飞天 龙 ”， 有 具体 步骤 如 下 : 


1) JN 
VR" /Users/snakeninny/.ssh/known hosts" FFiOSIP»j 
应 的 条 目 。 


假设 iOS 的 IP 地 址 是 iOSIP。 编 
4 “/Users/snakeninny/.ssh/known_hosts”, $2] 
iOSIP 所 在 的 那 一 行 ， 如 下 : 


iOSIP ssh-rsa 
hXFscxBCVXgqXhwm4PUoOUVBFWRrNeG6gVIS3Ewm4dqwusoRcyCxZtm5bRiv4bX 
fkPjsRkWVVf rw3uT52Hhx4RqIuCOxtWE7tZqcivVap4HIzUu3mwBuxog7WiFb 
sbbaJYA4AagNZmX83Wmvf81i5aYMsuKeNagdJHz JNt jM3vtuskK4jKzBkNuj 0M 
89TrV4AiEmKtIAVEOEmHMYZWwMZEXXbyX5NyEg5CRFmAA6XeYCbcaYOL90GEXX 
SWMMLA27tA1VtindHrKNXxZttgAw31J90UDnOG1MbWWAM7FEqRWQsWXxf GPkOW 
TALA54vaDX11LI5CD5nLAu4VkRj PIUBrdH501f qQ3qGkPayhsym3g0VZeYgU4J 
AMeFc3 


完整 删 挥 这 一 行 。 


2) 'EBKauthorized keys ° 
在 Terminal 中 执行 如 下 命令 : 


snakeninnysiMac:- Snakeninny$ ssh-keygen -t rsa 
Generating public/private rsa key pair. 

Enter file in which to save the key 
(/Users/snakeninny/.ssh/id rsa): 

Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 

Your identification has been saved in 
/Users/snakeninny/.ssh/id rsa. 

Your public key has been saved in 
/Users/snakeninny/.ssh/id rsa.pub. 
snakeninnysiMac:- snakeninny$ cp 
/Users/snakeninny/.ssh/id rsa.pub -/authorized keys 


WLS EA A A oe P AEXauthorized keys ° 
3) MEIOS ° 
在 Terminal 中 执行 如 下 命令 : 


FunMaker-5:~ root# ssh-keygen 

Generating public/private rsa key pair. 

Enter file in which to save the key (/var/root/.ssh/id rsa): 
Enter passphrase (empty for no passphrase): 

Enter same passphrase again: 

Your identification has been saved in /var/root/.ssh/id rsa. 


Your public key has been saved in /var/root/.ssh/id rsa.pub. 
FunMaker-5:- root# logout 

Connection to iOSIP closed. 

snakeninnysiMac:iosreproject snakeninny$ scp 
~/authorized_keys rootQiOSIP:/var/root/.ssh 

The authenticity of host 'iOSIP (iOSIP)' can't be 
established. 

RSA key fingerprint is 
75:98:9a:05:a3:27:240:23:08:d3:ee:f4:d1:28:ba:1a. 

Are you sure you want to continue connecting (yes/no)? yes 
Warning: Permanently added 'iOSIP' (RSA) to the list of known 
hosts. 

rootQiOSIP's password: 

authorized keys 100% 408 
0.4KB/s 00:00 


EEH ssh AFASIE, Wie Bae 
码 吗 ? JEET, “make package install” IE. 25 EV, T — 
(RACE, ETR, — AKA! 


Theos 提 供 了 方便 的 工程 清理 命令 “make 
clean”， 其 实际 作用 束 是 依次 执行 “rm- 
rf./obj” #1 “rm-rf"/Users/snakeninny/Code/iosre/_"” 4 


个 命令 ， 从 而 删除 “make” 和 “make package” fit ^ 


成 的 文件 夹 。 也 可 以 用 “rm*.deb”， 删 除 “make 
package” 命 令 生 成 的 所 有 deb 文 件 。 


3.2.4 Theos 开 发 tweak 示 例 


前 儿 世 完整 地 介绍 了 Theos 的 安 夺 和 使 用 方 
法 ， 虽 然 还 没有 涵盖 Theos 的 所 有 功能 ， 但 对 于 逆 
器 工程 初学 痢 来 说 已 经 完全 够 用 了 。 讲 了 这 人 么 多 
内 容 却 还 没有 涉及 一 行 真实 的 代码 ， 有 十 不 是 有 些 
意犹未尽 啊 ? 


接 下 来 将 以 一 个 最 简单 的 tweak 为 例 来 进行 讲 
解 。 安 装 了 该 程序 之 后 ， 每 次 重启 SpringBoard 都 
将 会 弹出 一 个 UIAlertView 。 


1. FH Theossst %tweak_L##“iOSREGreetings” 


狐 建 iDOSREGreetings 工 程 的 命令 如 下 : 


snakeninnysiMac:Code snakeninny$ /opt/theos/bin/nic.pl 
NIC 2.0 - New Instance Creator 


[1.] iphone/application 
[2.] iphone/cydget 
[3.] iphone/framework 
[4.] iphone/library 
[5.] iphone/notification center widget 
[6.] iphone/preference bundle 
[7.] iphone/sbsettingstoggle 
[8.] iphone/tool 
.] 


iphone/tweak 

[10.] iphone/xpc service 
Choose a Template (required): 9 
Project Name (required): iOSREGreetings 
Package Name [com.yourcompany.iosregreetings]: 
com.iosre.iosregreetings 
Author/Maintainer Name [snakeninny]: snakeninny 
[iphone/tweak] MobileSubstrate Bundle filter 
[com.apple.springboard]: com.apple.springboard 
[iphone/tweak] List of applications to terminate upon 


installation (space-separated, '-' for none) [SpringBoard]: 
Instantiating iphone/tweak in iosregreetings/... 
Done. 
H 
2 4g ER Tweak.xm 


编辑 后 的 Tweak.xm 内 容 如 下 : 


%hook SpringBoard 
- (void)applicationDidFinishLaunching:(id)application 


%Orig; 


UIAlertView *alert - [[UIAlertView alloc] 
initwithTitle:@"Come to http://bbs.iosre.com for more fun!" 
message:nil delegate:self cancelButtonTitle:Q"OK" 
otherButtonTitles:nil]; 

[alert show]; 

[alert release]; 


%end 


3.28 48 Makefile Æ control 


编辑 后 的 Makefile 内 容 如 下 : 


THEOS DEVICE IP = iOSIP 
ARCHS = armv7 arm64 
TARGET = iphone:latest:8.0 
include theos/makefiles/common.mk 
TWEAK_NAME = i0SREGreetings 
iOSREGreetings FILES = Tweak.xm 
iOSREGreetings FRAMEWORKS = UIKit 
include $(THEOS MAKE PATH)/tweak.mk 
after-install:: 

install.exec "killall -9 SpringBoard" 


编辑 后 的 control 内 容 如 下 : 


Package: com.iosre.iosregreetings 

Name: iOSREGreetings 

Depends: mobilesubstrate, firmware (»- 8.0) 
Version: 1.0 

Architecture: iphoneos-arm 

Description: Greetings from iOSRE! 
Maintainer: snakeninny 


Author: snakeninny 
Section: Tweaks 
Homepage: http://bbs.iosre.com 


以 上 代码 非常 简单 ， 当 SpringBoard 的 
applicationDidFinishLaunching: 函 数 得 到 调用 时 
代表 SpringBoard 的 局 动 过 程 已 经 结束 。 钓 住 

(hook) 这 个 函数 ， 调 用 %orig 完 成 它 的 原始 操 
作 ， 然 后 弹出 一 个 目 定义 的 UIAlertView; 这 样 一 
来 ， 每 次 重启 SpringBoard 都 会 弹出 一 个 对 话 框 。 
(KATE STS? 


ERN. Terminal XA “make package 
install”， 待 SpringBoard 重 局 之 后 会 看 到 如 图 3-14 所 
PRA ZA AR, Te] RT e 
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Wednesday, December 3 


Come to http://bbs.iosre.com 
for more fun! 


OK 


图 3-14 ”第 一 个 tweak 


是 的 ， 仅 仅 是 这 样 一 些小 小 的 改动 ， 就 已 经 
可 以 改变 App 的 行为 了 。 此 时 ， 封 闭 的 iOS 已 经 向 
我 们 打开 了 大 门 .…… 


因为 有 Theos 这 样 的 开发 工具 存在 ， 修 改 财源 
的 iOS 程 序 变 得 前 所 未 有 的 方便 。 不 过 在 前 面 也 所 
到 了 ， 现 在 的 App 工 程 量 越 来 越 大 ，class-dump 头 
文件 也 越 来 越 多 ， 要 从 海 如 烟 海 的 函数 名 中 师 选 
出 我 们 感 兴 趣 的 日 标 ， 比 确定 目标 后 编写 代码 还 
要 难得 多 。 面 对 成 干 上 万 行 代码 ， 如 末 没 有 其 他 
ILE MET, MR) Le Be AES, WA 
一 舌 喝 展 。 那 么 搂 下 来 ， 吏 轮 到 这 些 辅 助 分 析 工 
其 隆重 登场 了 。 


3.3 Reveal 


Reveal Æ KITTY BITTY Hi 5658 JUIA LE, 
可 以 直观 地 查看 App 的 UI 布局 ， 如 图 3-15 所 示 。 


'H 7] 28 RevealB] 4E f ze "See your application's 
view hierarchy at runtime with advanced 2D and 3D 
visualisations", (A{FAW H Leh, fU& Bc 
App 的 UI 布 局 显然 不 能 满足 我 们 的 需求 ， 能 够 香 
看 别人 AppHUI 布 局 才 古 正经 事 儿 一 一 图 3-16 现 
是 用 Reveal 碍 看 AppStore 的 效果 。 


REVEAL 


w my eT Aigars 


GS RD 


图 3-15 Reveal 


* >  AppStore (FunMaker 5) 


App Store 20 
FunMaker 5 (OS 8.1) 
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图 3-16  HReveal£t& AppStore JUI ffi /sj 


Reveal A MHAM], AppStore JUI Fay LA 
树 形 方式 展现 出 来 ， 当 选中 一 个 控件 时 ， 石 侧 的 
夫 面 截图 会 实时 地 标 出 选中 的 位 置 。 同 时 大 和 家 也 
一 定 注 意 到 了 ，Reveal 也 解析 出 了 UI 探 件 对 应 的 
类 名 ， 如 图 3-16 中 所 示 的 
SKUIAttributedStringView。 要 查看 别人 App 的 UI 
布局 ， 还 需要 对 Reveal 做 简单 配置 。 


1. 安 装 Reveal Loader 


在 Cydia 中 搜索 并 安装 Reveal Loader， 如 图 3- 
17 所 示 。 


值得 注意 的 是 ， 在 安装 Reveal Loader 的 时 
候 ， 它 会 目 动 从 Reveal 的 官网 下 载 一 个 必须 的 文 
件 libReveal.dylib。 如 采 网 络 状 况 不 太 好 ，Reveal 


Loader 不 一 定 能 够 成 功 下 载 这 个 dylib 文 件 ， 而 且 

它 没有 针对 dylib 下 载 失败 鸭 情况 做 容 鱼 处 理 ， 可 
能 会 在 下 载 界 面 卡 顿 很 长 时 间 ， 导 致 Cydia 停 止 响 
悄 。 因 此 ， 在 下 载 它 之 前 最 好 连接 美国 VPN， 且 

在 下 载 完 Reveal Loader 后 ， 检 查 iOS 上 

的 %Library/” 目 孙 下 有 没有 一 个 名 

为 “RHRevealLoader” 的 文件 夹 ， 如 下 : 


FunMaker-5:- root# ls -l /Library/ | grep RHRevealLoader 
drwxr-xr-x 2 root admin 102 Dec 6 11:10 RHRevealLoader 


eeeec 中 国联 通 3G : 15:20 


《 Search Details 


i Reveal Loader 
1.0.0-1 
© Change Package Settings > 


> Author Richard Heard > 


Installed Package 


(=| Version 


__ Filesystem Content 


com. rheard.reveal-loader 
BigBoss - Tweaks 


al 


Search 


图 3-17 Reveal Loader 


WAKA, MPO, DP: 


FunMaker-5:~ root# mkdir /Library/RHRevealLoader 


然后 打开 Reveal， 在 它 标题 栏 的 “Help” 选 项 
下 ， 选 中 其 中 的 “Show Reveal Library in Finder’ 
选项 ， 如 图 3-18 所 示 。 


图 3-18 Show Reveal Library in Finder 
IES ate HR ERÉS3-19PTZR BIA IBI e 


把 这 个 libReveal.dylib 通 过 scp 或 iFunBox 等 方 
式 找 由 到 刚才 创建 的 RHRevealLoader 上 日 录 下 ， 如 


F: 


FunMaker-5:~ root# ls -l /Library/RHRevealLoader 
total 3836 
-rw-r--r-- 1 root admin 3927408 Dec 6 11:10 libReveal.dylib 


F3 iOS-Libraries 
ag = m IDl | 39 ~ 


Name ^ Date Modified 


libReveal.dylib Oct 13, 2014, 6:59 AM 
Reveal.framework Oct 13, 2014, 6:59 AM 


图 3-19 libReveal.dylib 
至 此 完成 Reveal Loader 的 安装 。 
2. 配 置 Reveal Loader 


Reveal Loader 的 配置 界面 位 于 Settings 应 用 
中 ， 它 的 名 字 叫 “Reveal”， 如 图 3-20 所 示 。 


O Activator 


© pimncal 
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Slide2Kill8 Lite 


9 Adobe Reader 


图 3-20 Reveal Loader 


点 击 “Reveal* 进 入 其 界面 ， 呈 现在 我 们 面前 
的 主要 是 一 些 使 用 声明 ， 如 图 3-21 所 示 。 


点击 “Enabled Applications”， 进 入 配置 界面 。 
要 分 析 哪 个 App， 束 打开 对 应 的 开关 。 这 里 打开 
了 AppStore 和 Calculator 的 开关 ， 如 图 3-22 所 示 。 


eeeco 中 国联 通 3G 15:43 


《 Settings Reveal 


Enabled Applications 


This tweak is not officially supported. For more 
information about Reveal.app and runtime 
debugging see http://revealapp.com 


RHRevealLoader 


Copyright (c) 2014 Richard Heard. All rights 
reserved. 


Redistribution and use in source and binary 
forms, with or without modification, are 
permitted provided that the following conditions 
are met: 

1. Redistributions of source code must retain 
the above copyright notice, this list of 
conditions and the following disclaimer. 

2. Redistributions in binary form must 
reproduce the above copyright notice, this list 
of conditions and the following disclaimer in the 
documentation and/or other materials provided 
with the distribution. 

3. The name of the author may not be used to 


图 3-21 Reveal Loader Hj = HH 
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图 3-22 ”配置 Reveal Loader 


Reveal LoaderHJAC E MEXE T ° BLAM 
方便 ， 不 是 吗 ? 


3. 使 用 Reveal 查 看 目标 App 的 UI 布 局 


一 切 准 备 束 绪 ， 轮 到 主角 Reveal 出 场 了 。 痢 
完 确 认 OSX 和 iOS 位 于 同一 网 段 内 ， 然 后 局 动 
Reveal ， 并 重启 iOS 上 的 目标 App 〈 即 如 果 App 开 
E, PEAH, HJF) 。 从 Reveal 界 面 左上 
角 选 择 目 标 App， 稍 等 一 会 儿 ，Reveal 吏 会 把 目标 
App 的 UI 布局 展现 在 我 们 面前 ， 如 图 3-23 所 示 。 


É3-23  CalculatorB JUI ffi /sj 


Reveal HFD, "Ee ak PARS 
MBH LE o (Ae 7EIOSH [8] LIEF, X AppHJAT 
析 往 往 不 会 只 是 停留 在 UI 层 ， 外 在 表象 下 的 内 在 
实现 才 是 最 终 目 标 。 在 本 书 的 后 半 部 分 ， 将 采用 
Reveal] “Ch”, BlrecursiveDescriptionÉN ZA , 


配合 Cycript 来 挖掘 隐藏 在 UI 布 局 下 的 代码 ， 届 时 
你 束 会 感知 iO0S 诸 回 工 程 的 真正 威力 。 


3.4 IDA 


3.4.1 IDA 简 介 


即使 你 以 前 没有 从 事 过 iOS 逆 回 工 程 相 关 的 工 
作 ， 也 一 定 听 说 过 IDA (The Interactive 
Disassembler) 的 易 昂 大名。 而 对 于 绝 大 多 数 接触 
过 逆向 工程 的 人 来 说 ，IDA 三 个 字 则 是 如 雷 贯 
HE, EAM LE PRR HZ (QE 
3-24 所 示 ) 。 如 果 说 class-dump 能 够 帮 有 我 们 罗列 出 
要 分 析 的 点 ， 那 IDA 吏 能 进一步 大 我 们 把 这 些 操 
FOKE ° 


IDA: About 


What is IDA all about? 


DA is à Windows, Linux or Mac OS X hosted multi-processor disassembler and debugger that offers so many features it is 
hard to describe them all. Just grab an evaluation ver if you want a test drive 


图 3-24 IDA 官 网 


Fe SH, IDAve—S3c#FWindows ^ Linux 
和 Mac OS XN Z^F & xil Za as. CADE 
非常 强大 ， 以 全 于 连 官 方 都 不 能 给 出 一 个 详尽 的 
功能 列表 ° 


IDA 的 正式 版 是 收费 的 ， 但 其 作者 也 是 程序 
员 出 员 ， 深 知 我 们 生活 不 易 ， 所 以 慷慨 地 提供 了 
一 个 免费 的 试用 版 ， 对 于 堵 癌 工程 初学 着 来 况 ， 
已 完全 够 用 了 。IDA 的 下 载 和 安装 十 分 方便 ， 具 


体 可 参考 ; https://www.hex- 
rays.com/products/ida/index.shtml, Zk-BA BEA 
yl o 


3.4. IDA 使 用 说 明 


IDA 局 动 时 会 短暂 地 显示 如 图 3-25 所 示 的 窗 


IDA - The Interactive Disassembler 
Version 6.6.140625 (32-bit) 


(c) 2014 dignes SA 


with ee “folowing ‘imitations: 


1. Only PE/ELF/Mach-O files are supported 
2. It is time limited 
is 


sspe 


43-25 IDA 启 动 界面 


这 时 可 以 点 击 “OK”， 或 等 上 几 秒 ， 它 会 目 动 
关闭 ， 之 后 就 会 看 到 IDA 的 主 界面 ， 如 图 3-26 所 


一 -一 人 


e 


在 该 界面 中 ， 不 用 索 琐 地 在 沫 单 里 点 击 “ 打 开 
文件 ”"， 然 后 一 个 目录 一 个 目录 地 去 翻 找 ， 只 需 把 
要 分 析 的 文件 拖 进 IDA 的 灰色 区 域 束 行 了 。 打 开 
文件 后 ， 还 需要 做 一 些 基本 的 配置 ， 如 图 3-27 所 


一 -一 


zs? 


图 3-26 IDA 主 界面 


Processor type 
MetaPC (disassemble all opcodes) [metapc] 


Loading segment | 0x00000000 


Loading offset 0x00000000 


Options 


/| Create segments Kernel options 1 


Kernel options 2 
/| Fill segment gaps 


Loading options Processor options 
Create FLAT group 


DLL directory c^windows 


Help 


图 3-27 IDA 初 始 配 置 


有 一 个 地 方 需要 注意 : 对 于 一 些 fat binary 
( 指 的 是 为 了 兼容 不 同 架构 的 处 理 器 ， 而 把 多 种 
HORRA] — binary) 来 说 ， 图 3-27 中 最 上 面 


的 白 框 内 会 出 现 多 个 Mach-O 文 件 供 我 们 选择 。 建 
议 先 迅速 查阅 第 4 章 “dumpdecrypted” 这 一 节 的 
ARM 对 照 表 ， 找 到 设备 对 应 的 ARM 人 信息， 例如 笔 
者 的 iPhone 5 对 应 的 是 ARMv7s。 如 果 设 备 的 ARM 
没有 出 现在 这 些 远 项 中 ， 丈 选 那 个 同 下 莱 容 的 碗 
项 ， 即 如 果 选 项 里 有 ARMv7S， 就 选 它 ; 否则 选 
ARMv7。 这 种 方法 应 该 可 以 应 对 碰 到 的 99% 的 情 
况 ， 如 果 你 恰巧 是 那 1%， 请 来 http:Wbbs.iosre.com 
分 享 这 种 百 里 挑 一 的 喜悦 ， 我 们 一 起 解决 问题 。 


这 里 笔者 选择 了 ARMv7S， 人 然后 点 击 “OK”， 
此 时 ， 会 连续 弹出 好 几 个 窗口 ， 一 路 点 
击 “Yes”* 和 “OK” 就 可 以 了 ， 如 图 3-28 和 图 3-29 所 


一 一 全 


gu 


Objective-C 2.0 structures have been detected. Do you want to parse them and rename methods? 


No aM 


图 3-28 IDA 启 动 选项 


rane igo rdc d rand" $^ to 200m bask into a function. 
Do you want to switch to proximity view now? 


v | G 


Dont display this message again 


图 3-29 IDA 启 动 选项 


因为 试用 版 的 IDA 无 法 保存 ， 所 以 即使 在 这 
些 和 窗口 上 勾 选 <Don't display this message again", 
下 次 打开 IDA 还 是 会 出 现 这 些 窗口 ;虽然 有 些 厅 
烦 ， 但 这 么 强大 的 工具 都 让 我 们 免费 使 用 了 ， 麻 
ATUS JL ea HE, e 


按钮 都 点 完 后 ， 内 容 丰 是 的 主 界 和 面 再 次 进入 
我 们 有 眼帘， 如 图 3-30 所 示 。 


在 进入 图 3-30 所 示 的 界面 时 ， 你 会 看 到 上 方 
的 进度 条 不 断 滚动 ， 下 方 的 Output window 也 会 打 
印 出 对 文件 的 分 析 进 度 。 当 进度 条 的 主 色 调 变 成 
we (IDA 寞 面 上 的 颜色 在 黑 日 印刷 页 上 看 不 出 
来 ， 请 谅解 ) ，Output window 中 显示 “The initial 
autoanalysis has been finished.” 时 ， 表 示 IDA 的 初 
始 分 析 已 完成 。 


在 初学 阶段 ， 由 于 主要 用 IDA 作 竟 仿 分 析 ， 
基本 用 不 上 Output window， 所 以 在 开始 分 析 之 
BI, PJAK Output window 。 


现在 看 到 的 两 个 大 窗口 分 别 是 左 侧 小 部 分 的 
Functions window (如 图 3-31 所 示 ) 和 右 侧 大 部 分 
的 Main window (如 图 3-32 所 示 ) 。 下 面 分 别 介绍 

一 下 这 2 个 窗口 的 用 途 。 


IDA - /Users/snakeninny/SMSNinja.app/SMSNinja 
ev» ty SHS 8 boss DO E Prem Pm E 
hit! i — 5 -.J B 
Unexplored f| Instruction I External symbol 
. eR Struc... e (t E... © Sj Im... 9 i? Ex... 


PE 
cfstr Smsninjaapplic 


100.00% (-2,-152) (241,209) 00050BE4 00008BE4: main 


regnm Zi — je” has been successiu. MT loaded into the database. 
dling A ONIS ons/ app/Contents /MacOS/1dc/ida.idc' . 
i 


图 3-30 IDAL AR 


(F| |SMSNinjaApplication applicationWill 
f | |SMSNinjaApplication showPasswort 
| f | {SMSNinjaApplication updateBadge/ 
-[SMSNinjaApplication willPresentAle 
| f| {SMSNinjaApplication alertView:click 
F| {SMSNinjaApplication window] 


-[SMSNinjaApplication setWindow:] 
JSNBlacklistViewController dealloc] 
| f | {SNBlacklistViewController loadDatal 
|f | {SNBlacklistViewController init] 
-[SNBlacklistViewController segment/ 
| f | -[SNBlacklistViewController viewDidL 
了 | SNBlacklistViewController numberO 
-[SNBlacklistViewController table View 
4SNBlacklistViewController tableView 
-[SNBlacklistViewController tableView 
-{SNBlacklistViewController gotoNum 
-[SNBlacklistViewController gotoCont 
JSNBlacklistViewController gotoTime 


É[3-31 Functions window 


图 3-32 Main window 
(1) Functions window 


顾名思义 ， 这 个 窗口 展示 了 IDA 分 析出 来 的 
所 有 函数 (规范 地 讲 ，Objective-C 的 function 应 该 
称 为 method， 即 方法 ， 此 处 统称 为 函数 ， 请 大 家 
注意 ) ， 双 击 一 个 函数 ，Main window 会 显示 它 
ENCE © TE Function Window 时 点 击 菜单 栏 
ER “Search”, 25414 WA3-33PR ANH Pee » 


Sd View Options Windows 


-[SMSNinjaApplication dealloc] 
-[SMSNinjaApplication applicationDid 
sub 8E40 

-[SMSNinjaApplication applicationWill 
-[SMSNinjaApplication showPasswor 
-[SMSNinjaApplication updateBadge/ 
-[SMSNinjaApplication willPresentAle 
[f] -[SMSNinjaApplication alertView:click 


图 3-33 ”查找 函数 


选择 *Search”， 并 在 图 3-34 的 对 话 框 中 输入 要 
便 找 的 内 容 ， 可 以 在 所 及 数 名 里 全 找 指 是 的 字 
从 串 ， 十 分 方便 ; 当 要 查找 的 内 容 出 现在 多 个 函 
数 名 里 时 ， 还 可 以 点 击 “Search again” eva JF 1x LE 


CY 


ANS ^ INN. LIBRE EA DA AIDA 5 
TRAY RE BE TEAM ° 


Functions window? ÉJObjective-C EZ 5j 
class-dumpr Hh IAA ° BR T Objective-C aX 
外 ，IDA 还 将 所 有 subroutine 罗 列 了 出 来 ， 这 是 
class-dump 做 不 到 的 。class-dump 导 出 的 内 容 都 是 
Objective-C 函 数 名 ， 可 读 性 高 ， 容 易 上 手 ， 是 iOS 
逆向 工程 初学 者 的 乐园 ，subroutine 的 名 称 只 是 一 
个 代号 ,没有 明显 含义 ， 分析 难度 大 ， 大 多 数 初 
学 者 看 到 这 里 就 打 了 退 堂 鼓 。 但 是 ，iOS 的 底层 是 
用 C 和 C++ 实 现 的 ， 编 译 之 后 生成 的 大 都 是 
subroutine, class-dump& E 1x48,  HBETE HHIDA3X 
FEA LG. e HIRIZ IOS RA BRA, 
掌握 IDA 的 用 法 是 必 经 之 路 。 


e e QV Enter the search substring 


String bbs.iosre.com 
The search is case-insensitive 


a 


图 3-34 ”查找 函数 
(2) Main window 


绝 大 多 数 没 有 用 过 IDA 的 iOS 开 发 者 ， 包 括 笔 
首 ， 在 第 一 次 看 见 杞 始 分 析 完 成 后 的 Main 
window 时 都 异 了 一 一 这 都 是 些 什么 玩意 儿 ? 这 十 
人 类 文字 吗 ? 还 是 把 IDA 关 了 ， 刷 会 儿 微 博 压 压 
惊 吧 。 这 跟 很 多 工程 师 在 写 第 一 行 代码 时 不 知 如 
何 下 手 的 感 和 响 很 类 似 。 其 实 ， 跟 写 代 码 时 需要 定 
义 一 个 入 口 画 数 一 样 ， 在 逆向 工程 里 ， 也 需要 找 
到 目 己 感 兴趣 的 入 口 畏 效 。 在 Functions window? 
双击 这 个 入 口 国 数 ， 使 得 Main windowPEE 2] EN 


数 体 ， 然 后 用 鼠标 选中 Main window, $£— hz 
格 ， 界 面 会 瞬间 变 清 严 ， 可 读 性 一 下 束 强 了 起 

来 ， 让 人 感觉 到 “我 的 天 空 ， 星 星 都 亮 了 ”《〈 如 图 
3-35 所 示 ) 。 


ins, R7,LR) 
RO, # (110werl6: (selRef  applicationWillTerminate  - Ox8E58)) 
#4 


' MEE aii: -a MEME - Ox8E58)) 
, Wf (dword 41C14 - Ox8E5 
RO, PC ; selRef po ne ene 
, PC ; dword 41C14 
, [RO] ; "applicationWillTerminate: 
+ [R4] 
, RO 
_objc_msgSend 
RO, d (se1Ref. — mnn - e 


selRef terminateWithSucc 
$ rem e pare eee 


W j. objc 
; End of function sub 8E40 


[3-35 Graph view 


Main window 有 两 种 显示 模式 ， 分 别 是 Graph 
view 和 Text view， 它 们 之 间 可 以 通过 空格 链 切 
换 。Graph view 把 被 分 析 的 程序 逻辑 用 方块 的 形 


式 表 现 出 来 ， 方 便 我 们 分 析 程 序 各 个 分 文 之 间 的 
天 系 。 各 个 方块 之 间 的 执行 顺序 用 市 稍 头 的 线 表 
示 ， 当 执行 出 现 分 文 时 ， 满 足 判 断 条 件 分 文 的 线 
是 绿色 的 ， 否 则 是 红色 的 ; 当 执 行 没有 分 文 时 ， 
线 是 监 色 的 。 比 如 ， 在 图 3-36 中 ， 当 最 上 面 的 方 
块 执行 完 后 ， 会 判断 R0 是 否 为 0， 如 果 R0I=0， 则 
满足 判断 条 件 (BNE, ElBranch if Not Equal to 
zero) ， 走 绿色 的 那 条 路 接着 执行 右边 的 方块 ; 
否则 走红 色 的 路 执行 左边 的 方块 。 此 处 是 IDA 的 
难 后 之 一 ， 后 面 的 实例 中 会 再 次 讲解 。 


RO, [SP,fOxllé*var 1C] 
R1, [R4] 


RO, R1, RO 
loc 1C768 


Stack chk fail 
; End of function sub 1C40C 


图 3-36 IDA 的 分 支 


细心 的 读者 也 一 定 注 意 到 了 ，IDA 中 的 字体 
色彩 统 纷 ， 事 实 上 ,不同 闫 色 的 字体 表示 的 含义 
也 各 不 相同 ， 如 图 3-37 所 示 。 


.. Library function ^. Data fj Regular function I Unexplored fj instruction ^. External symbol 


图 3-37 ”颜色 指示 栏 


当选 中 一 个 竺 号 时 ， 相 同 的 竺 与 都 会 用 黄色 
高 完 亚 示 ， 方 便 跟 踩 这 个 符号 的 轨迹 ， 如 网 3-38 


; SNNumberViewController - (void)tableView:(id) didSelectRowAtIndexPath:(id) 
} Attributes: bp-based frame 


; void _ cdecl -[SNNunberViewController tableView:didSelectRowAtIndexPath:]( 
. SNNumberViewController tableView didSelectRowAtIndexPath - 
PUSH = R5,R7,LR} 


MOV 

MOV (selRef deselectRowAtIndexPath animated  - 0x1B536) 
MOV R3 

ADD PC ; selRef deselectRowAtIndexPath animated _ 

MOVS 


R3, #1 
[R0] ; "deselectRowAtIndexPath:animated:" 
R2 


f section 
Rl, TRO} ; "section" 


LDR 

MOV 

MOV 

ADD 

BLX c msgSend 
MOV ; section ~ Ox1B54E) 
ADD selRe 
LDR 

MOV 

BLX 

CMP 

BNE 


双击 符号 ， 可 以 查看 它 的 实现 ， 戏 果 与 图 3- 
35 类 似 。 在 任意 符号 上 点 击 鼠 标 右键 ， 会 弹出 如 
| 3-39 PARSE ° 


"Hi Group nodes 


ua) Rename 


* Jump to operand 
[E] Jump in a new window 
iy Jump in a new hex window 
Jump to xref to operand... 
List cross references to... 
List cross references from... 


Y Manual... 

f Edit function... 

= Hide 

=} Text view 

==, Proximity browser 
X Undefine 
Synchronize with 

x4 Xrefs graph to... 
N Xrefs graph from... 


图 3-39 ”在 符号 上 扩 击 右键 


其 中 ， 和 常用 的 功能 有 “Jump to xref to 
operand...” (快捷 键 “x”) ， 点 击 后 出 现 的 窗口 罗 
列 了 这 个 文件 中 显 式 引用 这 个 符号 的 所 有 信息 ， 
如 图 3-40 所 示 。 


Hn 


d 
HHH 


AAAA LALALALA LALALA] ] 


图 3-40 Jump to xref to operand... 


XX 


= 
A nDDDXPESEGE 


MR D, IAN TE Nils EDUL, E 


Z 
iz 


Main window E B'JGraph view 开 


ADE, XXT 


运 


下 面 的 “Xrefs graph to...”， 但 如 果 


从 号 个 引用 过 多 的 话 ， 束 会 看 到 类 似 图 3-41 这 样 
HJ — BLE AA, Be BY NT, FERAL 


3-41 符号 引用 的 Graph view 


在 图 3-41 中 ， 黑 色 的 部 分 都 是 由 一 根 根 直线 
构成 的 ， 两 侧 基本 已 经 黑 成 了 一 片 ， 可 以 看 出 


obj c msgSendSuper2. stretiot T f SRA BS | 用 。 


相对 地 ， “Xrefs graph from...” 则 会 显示 这 个 
从 号 显 式 引 用 的 所 有 符号 ， 如 图 3-42 所 示 。 


从 图 3-42 可 以 看 到 ，sub_1DC1C 是 个 
subroutine， 它 显 式 引用 了 jobjc_msgSend ` 


 OBJC CLASS $ UIApplication 和 和 

 objc msgSend, Tfj objc msgSend X mx 5| Hi T 
. imp objc msgSend ° 双击 Main window 里 的 
 objc msgSend, FX: imp  objc msgSend, 
可 以 看 到 它 来 自 libobjc.A.dylib， 如 图 3-43 所 示 。 


图 3-42 ”查看 sub 1DC1C 显 式 引 用 的 符号 


在 多 数 情 况 下 ， 找 到 一 个 感 兴趣 的 符号 时 ， 
会 想 进 一 步 碍 找 与 这 个 符号 相关 的 所 有 线索 。 一 
种 尝 拙 但 有 效 的 方法 是 鼠标 选中 Main Window 时 
点 击 菜单 栏 上 的 “Search”， 此 时 会 弹出 如 图 3-44 所 
ARH FEE o 


然后 选择 “text...”， 会 弹出 如 图 3-45 所 示 的 窗 
| ] o 


Imports from /usr/lib/libobjc.A.dylib 


Segment type: Externs 
IMPORT — je persona Se 
DATA XREF: nc E act 
. text:0000D3DClo 
IMPORT _ objc empty cache 
, — XREF: _ objc data: OBJC CLASS $ SMSNin 
objc data: OBJC METACLASS $  SMSNinjaAppl 
IMPORT imp objc autoreleasePoolPop 
CODE XREF:  objc autoreleasePoolPop!j 
DATA XREF: objc autoreleasePoolPoplo ... 
IMPORT imp objc_ autoroleasaPoolPush 
— XREF: objc autoreleasePoolPush!j 
1 obje autoreleasePoolPushto ... 


XREF 
IMPORT imp objc _ enumerat toniutat io 
e XREF: objc enumerationMutation!j 
XREF: objc enumerationMutationlo ... 
IMPORT imp obje | getclass E 3, CODE. XREF: gan, pen EN 
XREF: _objc_getClassto .. 
IMPORT _ imp objc paints ; E^ XREF:  objc msgSend!j 
; DATA XREF: objc_msgSendio ... 


IMPORT imp objc | msgSendSuper2 
CODE XREF: _objc_msgSendSuper21j 
DATA XREF: _objc | atm te ee 
IMPORT imp objc _nagSend. stret 
CODE XREF:  objc msgSend stret!j 


; DATA XREF: objc_msgSend_ cea dii eve 
IMPORT imp objc | gore 
CODE XREF: objc_setProperty1!j 
: DATA XREF: objc setPropoertylo ... 


图 3-43 ”查看 外 部 符号 来 源 


XB RP IDA - /Users/snakeninny/SMSNinja.app/SMSNinja 
a ty $ od) x > od 
mU | 


kemal symbol | 
M oc hexvew1 — 9X Structures © 


f, sequence of bytes... 
篇 next sequence of bytes 
not function 

next void 

error operand 

all void operands 


all error operands klistViewController - (void)viewDidLoad 
utes: bp-based frame 


B search direction _cdecl -[SNBlacklistViewController view? 


[3-45 ”搜索 文本 


这 时 ， 可 以 根据 目 己 的 情况 选择 搜索 是 否 对 
大 小 写 敏 感 ， 搜 索 格 式 是 不 是 正则 表达 式 等 ， 然 
后 勺 选 “Find all occurences”, "OK", IDAS 
将 文件 中 所 有 满足 搜索 条 件 的 符号 列 出 ， 供 我 们 
一 一 查看 o 


Graph view DEB JZJ]BedE s de, DÀ EH ERI 
单 介绍 了 几 个 常用 的 功能 ， 熟 练 地 使 用 它们 是 进 
行 更 深入 研究 的 保障 。Graph viewH A M EA fe 
洁 ， 各 代码 块 间 逻辑 清晰 ， 适 合 肉眼 观看 。 相 对 
来 说 ， 现 阶段 切换 到 Text view 的 机 会 比较 少 ， 一 
般 征 在 配合 LLDB 进 行动 态 调试 时 ， 才 会 在 Text 
View 中 对 界面 左 侧 罗 列 的 符号 地 址 特别 关注， 如 
图 3-46 所 示 。 


N] 
Ro, (5P, tx aa 20) 
1, 


V Con 
ssRef  SNBlacklistViewControlloer 0 
CLASS $ SNBlacklistViewControlle 


f! SeguentedCentzel - @xS8CC) 


} clasenet yrsegnenteécentrel 
" j llo 
' j onc “cuass_ §_UISeguentedcontrol 
c , 


图 3-46 Text view 


felt eae, DAWE" Buh 5 $XGraph 
view 的 末端 显示 不 全 (例如 一 个 subroutine 本 来 有 
100 行 指令 ， 但 只 显示 了 80 行 ) ， 当 你 对 某 一 个 
Graph view 块 中 的 指令 产生 明显 怀疑 时 ， 可 切换 
到 Text view Æ Graph view 是 不 是 涯 显示 了 某 些 
代码 。 这 类 Bug 出 现 的 概率 不 大 ， 如 果 你 不 斑 中 
彩 ， 欢 迎 来 http://bbs.iosre.com 交 尝 解 决 方案 。 


3.4.3 IDA 分 析 示 例 


说 了 IDA 的 这 人 么 多 使 用 方法 ， 下 面 用 一 个 简 
单 的 例子 向 大 家 演示 IDA 的 威力 。 越 狱 iOS 的 用 户 
都 知道 ， 在 Cydia 中 安装 完 一 个 tweak 后 ，Cydia 会 
建议 我 们 “Restart SpringBoard”， 那 么 这 个 respring 
的 操作 是 如 何 实现 的 呢 ? 请 大家 快速 浏览 3.5-， 
用 iFunBox 将 iOS 中 
HJ*/System/Library/CoreServices/SpringBoard.app/S 
pringBoard” 找 贝 到 OSX 中 ， 并 用 IDA 打 开 它 ， 等 
待 初 始 分 析 结 束 后 在 Function window 里 搜 
“relaunch SpringBoard”， 定 位 到 这 个 函数 ， 双 
击 跳 转 到 它 的 实现 代码 中 ， 如 图 3-47 所 示 。 


} SpringBoard -~ (void)relaunchSpringBoard 
} Attributes: bp-based frame 


) void _ cdecl -[SpringBoard relaunchSpringBoard) (struct SpringBoard *self, SEL) 
..SpringBoard relaunchSpringBoard 


{R4,R7,LR} 
7, SP, 04 
[SP,f4*var 8]! 
SP, #8 
$( UIApp ptr ~ 0x1990A) 
#(:lowerl6:(selRef_beginIgnoringInteractionEvents ~ 0x19912)) 
PC ; UIApp ptr 
#(:upperl6: (selRef_beginIgnoringInteractionEvents ~ 0x19912)) 
[RO] ; _UI 
PC ; selRef beginIgnoringIntoeractionEvoents 
[R1] ; "beginignoringInteractionEvents" 
RO 


jc ms 
$(off 40802C ~ 0x19928) 
$(:1owerló6:(selRef hideSpringBoardStatusBar ~ 0x19930)) 
PC ; off 40802C 
#(:upperl6: (selRef hideSpringBoardStatusBar ~ 0x19930)) 
[RO] ; dword 4DD8B4 
PC ; selRef hideSpringBoardStatusBar 
"hideSpringBoardStatusBar" 


R2, é(:lowerl6:(cfstr SpringboardRel - 0x1994C)) ; "SpringBoard relaunch” 

RO, #5 

R2, #(:upperl6:(cfstr_SpringboardRel - 0x1994C)) ; "SpringBoard relaunch” 
#0 


, 


R2, PC ; “SpringBoard relaunch" 


RB 

sub 35088 
#(:lowerl6:(selRef performSelector withObject afterDelay ~ 0x1996A)) 
#0 


#(:upperl6: (selRef_performSelector withObjoct afterDolay - 0x1996A)) 
#(selRef_ relaunchSpringBoardNow -~ 0x1996C) 

PC ; selRef performSelector withObject afterDelay 

PC ; selRef relaunchSpring 

(RO) ; "performSelector:withObject:afterDelay:" 


" relaunchSpringBoardNow^ 


图 3-47  [SpringBoard relaunchSpringBoard] 


AY DESI, xU Ra SCO Bal CS 
晰 。 根 据 从 上 到 下 的 执行 顺序 ， 首 先 调用 
beginIgnoringInteractionEvents， 开 始 忽 略 所 有 用 


户 交 互 事件 ;然后 调用 hideSpringBoardStatusBar 
来 隐藏 状态 位， 授 看 连续 执行 2 个 subroutine， 分 
别 是 sub_35D2C 和 sub_350B8。 接 下 来 ， 双 击 
sub_35D2C， 跳 转 到 它 的 实现 ， 看 看 它 做 了 什 
么 ， 如 图 3-48 所 示 。 


在 图 3-48 中 ， 一 有 眼 束 能 看 到 好 多 含有 “log” 字 
样 的 关键 词 ， 先 *initialize”， 然 后 判断 是 
否 “enabled”， 最 后 “log”。 稍 微 懂 一 点 英语 的 朋友 
都 能 狂 到 ，sub_35D2C 的 作用 是 将 respring 的 一 些 
操作 记录 下 来 ， 与 respring 的 主体 功能 无 关 。 点 击 
IDA 菜 单 栏 上 的 蓝 色 后 退 按钮 (如 图 3-49 所 
示 ) ， 或 直接 按 ESC， 回 退 到 relaunchSpringBoard 
函数 体 中 ， 继 续 往 下 分 析 。 


t(clanans Tasshet mastring - Ox3 o - — 
(: 


lowoerlé:(stru . hiec - - go | "se" 
PC ; selRef  stringWithFormat 
"ri ; classRof NSS5Cring 
W(:upperl6:(stru 42148C - 0x35D76)) ; "16^ 
[RO] ; "stringWithFormat:" 
[R2] ; OBJC CLASS $ NSString 


RC PARE $ 8 - 0x35D84)) ; "ts() 16^ 
; “ae 
Vesbeorkapacerel S 8 ~ Ox35D84)) ; "1is() 10" 
orkspacerel ~ 0x35D88) ; 'SBWorkspaceRelaunchWhenFinishedTerminat". 
; "As() te" 
(a5; #0xC+var_C) 
} "SBWorkspaceRelaunchWhenFinishedTerminat"... 


: i ~ 0x35DA2) ; "FBWorkspaceLog" 


; "FBWorkspaceLog" 


SP 
(i as, ray “rc 
End of function s $5p2c 


图 3-48 sub 35D2C 


图 3-49 ”后 退 按钮 


双击 sub_350B8， 跳 转 到 如 图 3-50 所 示 的 界 
面 o 


从 图 3-50 可 以 看 到 ， 这 个 subroutine 只 是 在 为 
调用 sub_350C4 作 一 些 准备 工作 而 已 。 双 击 
sub_350C4， 跳 转 到 它 的 实现 ， 你 会 发 现 
sub_350C4 的 上 半 部 分 与 图 3-48 所 示 的 sub_35D2C 
非 党 类似， 都 只 是 做 了 一 些 操作 记录 。 但 与 
sub_35D2C 不 同 的 是 ，sub_350C4 还 做 了 一 些 实际 
工作 ， 如 图 3-51 所 示 。 


, 
sub 350C4 
; “End of function sub 350B8 


图 3-50 sub 350B8 


我 们 现在 还 不 了 解 汇 编 语 言 ， 只 能 大 致 浏览 
一 下 这 些 关 键 词 ， 不 过 ， 可 以 猜测 出 这 个 
subroutine 的 作用 是 生成 一 个 名 
为 “TerminateApplicationGroup” 的 事件 ， 指 定 其 处 
理 方法 为 sub_351F8， 然 后 把 生成 的 事件 加 入 一 个 
处 理 队 列 里 ， 并 依次 处 理 队 列 里 的 事件 ， 从 而 关 
挥 所 有 的 App 一 一 商城 天 | 之 前 ， 要 关闭 里 面 的 
所 有 店铺 ; respring 之 前 ， 上 自然 也 要 关 掉 所 有 的 
App。 现 在 去 看 看 sub_351F8 的 实现 ， 如 图 3-52 所 


— 


2s. 


RO, K(:lowerl6:(classRef FBWorkspaceEvent ~ 0x3517E)) 
R10, "t bs pars ru à 
#(:upperlé:(classRef_FBWorkspaceEvent - 0x3517E)) 
$( . NSConcreteStackBlock ptr - 0x35172) 
&(:lowerl6:(selRef eventWithName handler -~ 0x3519E)) 
PC; __NSConcreteStackBlock 


Stappie (aoiBe£ | eventWithName handler ~ 0x3519E)) 
$(:1owerl6:(unk 40B640 - 0x351A2)) 


PC E 

$(:upperl6:(unk 40B640 ~ 0x351A2)) 

$(cfstr Terminateappli ~ 0x351AA) ; "TerminateApplicationGroup" 
kspacoEvent 


[RO OBJC CLASS $ FBWor 
Hau aSiraei ~ 0x351A4) 
, 4*var 3C] 
000000 


Oxc2 
(SP, #0x44+var_ 38] 
selRef eventWithName handler 


"TerminateApplicationGroup" 
fox44*var 3C 
[R9] ; "eventWithName:handlor:" 
(SP, #0x44+var_24) 
(SP, #0x44+var_ 20] 
[SP,tOx44*var 1C) 
Rll, (SP, #0x44+var_28) 
c msgSend 


jc msgSend 
Mise» (ae NC: executeOrAppendEvent - Ox351EA)) 
Rl, S (rupperlé: (selRet_ executeOrAppendEvent  - 0x351EA)) 
f executeoOr 
tionem, mei 
(R8,R10,R11) 


{R4-R7,PC) 
End of function sub 350C4 


图 3-51 sub 350C4 


R9, [RO,$0x18] 


R3, [RO,f$0x14] 
R1, [RO,f$0x1C] 
R2, ino» 40x20] 


j. BKSTerminateApplicationGroupForReasonAndReportWithDescription 
of function sub 351F8 


图 3-52 sub 351F8 


M 
BKSTerminateApplicationGroupForReasonAndRepo 
rtWithDescription 的 名 字 来 看 ， 其 作用 已 经 很 明显 
了 ， 它 印证 了 刚刚 对 sub_350C4 的 分 析 。 再 次 回 退 
到 relaunchSpringBoard 函 数 体 里 ， 到 这 里 ， 分 析 已 
经 接近 尾声 了 : KR A 
_relaunchSpringBoardNow， 完 成 respring 哥 作 。 


不 需要 了 解 汇编 代码 ， 也 不 用 熟悉 调用 规 
则 ， 我 们 以 几乎 等 基础 的 水 平成 功 完成 了 这 次 逆 
问 工 程 ， 不 是 吗 ? 当然 ， 这 不 能 说 明 我 们 的 水 平 
有 多 人 么 高 深 ， 而 十 提 酝 我 们 应 该 为 拥有 IDA 这 样 
强大 且 免 费 的 神 万 感到 芋 运 ， 从 而 激励 我 们 加 倍 
努力 。 在 绝 大 多 数 情况 下 ， 对 IDA 的 使 用 跟 上 面 


的 示例 没有 本 质 区 别 ， 你 只 需要 耐看 性 了 于， 仔细 
阻 路 IDA 硅 现 出 的 每 一 行 代码 ， 要 不 了 多 久 ， 你 
BL RV RR SE SIS [8] LFRHJ AK ZS © 


IDA 的 用 法 远 不 止 本 下 所 示 的 这 么 简单 ， 如 
东 你 在 使 用 过 程 中 有 任何 疑问 ， 都 欢迎 来 


http:Wbbs.iosre.com 讨 论 交 流 。 


3.5 iFunBox 


iFunBox (如 图 3-53 所 示 ) 是 一 款 老牌 iDS 文 
件 管理 工具 ， 可 以 非常 方便 地 操作 i1OS 中 的 文件 。 


eoe iFunBox 


S, FunMaker 5 | iP... > 
New Foider Refresh Go Up Level Copy From Mac Copy To Mac Install App Current Device 
My Mac | Name Size 
v *"WFunMaker 5(iPhone 5, iOS8.1) .Trashes 
b A User Applications file 0B 
>» Q System Applications 国 .fseventsd 


> Q App File Sharing B Applications 


General Storage 
@ Camera 

ij Camera 

@ Camera2 

@ Cydia App Install 
EB Ringtones 

a iBooks 

FÌ voice Memos 


图 3-53  iFunBox 


iFunBox 的 使 用 并 不 复杂 ， 我 们 主要 用 到 的 是 
它 的 文件 传输 功能 。 有 一 点 需要 注意 的 是 ， 越 狱 


iOS 必 须 安 装 *Apple File Conduit 2” (如 图 3-54 所 
示 ) ， 简 称 AFC2， 这 样 iFunBox 才 能 够 浏览 iDS 全 
系统 文件 ， 而 且 这 也 是 接 下 来 大 部 分 操作 的 先决 


ati 


eeeco 中 国联 通 3G 4 10:23 9 64% I ) 
€ Installed Details Modify 


C) Apple File Conduit "2" 
1.2 


©. Change Package Settings > 


4, Author Jay Freeman (saurik) > 


. This a replacement for packages such 
. as afc2add, and | think it is compatible 
. with all iOS versions (including 8.x!). 


(A special thank you to @ PoomSmart 
for his help achieving iOS 8 support!) 


(Version 1.2 fixes a small bug in 1.1 
affecting iOS 8 for some users.) 


AFC stands for "Apple File Conduit" 
| (or at least so says TheiPhoneWiki :/), 
. and is how computer applications such 
as iTunes and iPhoto can read and 
Ed c. - MS 


Sources hanges Installed 


图 3-54 Apple File Conduit 2 


3.6 dyld decache 


安装 了 iFunBox 和 AFC2 之 后 ， 不 少 读者 会 迫 
不 及 行 地 开始 浏 贤 iOS 文 件 系 统 ， 看 看 这 个 封闭 平 
台 的 表面 下 到 撒 蜡 减 了 多 少女 机。 相信 六 家 很 快 
整 会 发 现 一 个 问 
wl: “/System/Library/Frameworks/” ` */System/Lib 
rary/PrivateFrameworks/" $ H3 F, (RAYE Fg X 
f? 


从 iOS 3.1 开 始 ， 包 括 frameworks 在 内 的 许多 
库 文 件 被 存 进 了 一 个 大 cache 里 ， 这 个 cache 文 件 位 
F“/System/Library/Caches/com.apple.dyld/dyld_sha 
red cache armx" (4 7j 


dyld, shared cache armv7 ^ 


dyld shared cache armv7sEY 

dyld shared cache arm64) ， 可 以 使 用 KennyTM 
开发 的 dyld_decache 将 其 中 的 二 进 制 文件 提取 出 

来 。 这 样 做 的 好 处 是 确保 分 析 的 文件 来 目 本 机 .， 
在 使 用 Mac 工 具 集 与 OS 工具 集 分 析 同 一 目标 时 ， 
OSX 人 与 iOS 上 分 析出 的 指令 和 地 址 等 数据 是 完全 吻 
合 的 ， 避 人 免 了 出 现 驴 层 不 对 马 嘴 的 低级 错 座 。 有 
天 这 个 cache 的 进一步 介绍 ， 可 以 参阅 DHowett 的 
博客 (http://blog.howett.net/2009/09/cache-or- 
check/) 。 


使 用 dyld_decache 之 有 前， 要 
将 “/System/Library/Caches/com.apple.dyld/dyld_sha 
red_cache_armx” 用 iFunBox (不 能 用 scp) 从 iOS 搂 
贝 到 OSX 中 。 然 后 从 


https://github.com/downloads/kennytm/Miscellaneou 
s/dyld_decache[v0.1c].bz2 F #%dyld_decache ° ##/&: 
ZAP TPT APR, AH: 


snakeninnysiMac:~ snakeninny$ chmod +x 
/path/to/dyld_decache\[v0.1ic\] 


然后 开始 提取 二 进 制 文件 ， 如 下 : 


snakeninnysiMac:- snakeninny$ /path/to/dyld_decache\[v0.1c\] 
-o /where/to/store/decached/binaries/ 
/path/to/dyld_shared_cache_armx 

0/877: Dumping 
'/System/Library/AccessibilityBundles/AxSpeechIimplementation 
.bundle/AXSpeechlImplementation'... 

1/877: Dumping 
'/System/Library/AccessibilityBundles/AccessibilitySettingsL 
oader ..bundle/AccessibilitySettingsLoader'... 

2/877: Dumping 
'/System/Library/AccessibilityBundles/AccountsUI.axbundle/Ac 
countsUI'... 


提取 出 的 所 有 二 进 制 文件 都 存放 在 
T */where/to/store/decached/binaries/" 下。 值得 一 


pela, Wa] LEER 36 2) DTE] — 3E 18 X PE 
沙 在 OSX 和 iOS 两 个 系统 中 ， 不 方便 查找 ， 建 议 利 
用 下 一 章 提 到 的 scp 工 具 把 iOS 文 件 系统 拷贝 一 份 
存在 OSX 里 。 


3.7 zem 


本 章 重 点 介绍 了 class-dump、Theos、 
Reveal ` IDAIX47 LE, ARENA ATE, 
是 我 们 一 步 步 掌 握 iOS 逆 向 工程 的 前 提 © 


SAM jOS LA 


第 3 章 介绍 了 iOS 逆 向 工程 的 OSX 工 具 集 ， 为 
f ÉEXGOSXÉ[R LE, xb EETEIOS L ` UH 
一 系列 工具 ， 将 两 个 平台 联动 起 来 。 以 下 的 操作 
均 在 iPhone 5, iOS 8.1 中 完成 ， 如 果 你 在 使 用 中 
页 到 了 问题 ， 请 到 http://bbs.iosre.com 上 交流 反 


int ° 


4.1 CydiaSubstrate 


CydiaSubstrate (如 图 4-1 所 示 ) 是 绝 大 部 分 
tweak 正 和 常 工 作 的 基础 ， 它 由 MobileHooker、 
MobileLoader 和 Safe mode 组 成 。 


图 4-1 CydiaSubstrateH‘Jlogo 


4.1.1 MobileHooker 


MobileHooker 的 作用 是 巷 换 系统 函数 ， 也 就 
是 所 请 的 hook， 它 主要 包含 以 下 两 个 琐 数 : 


void MSHookMessageEx(Class class, SEL selector, IMP 
replacement, IMP *result); 

void MSHookFunction(void* function, void* replacement, 
void** p original); 


A —— Hi T Objective-CEN 
数 ， 通 过 调用 method_setImplementation 函 数 将 
[class selector] 的 实现 改 为 replacement， 达 到 hook 
的 目的 。 这 是 什么 意思 了 昵 ? ABABA BI, IAI 
一 个 NSString 对 象 发 送 hasSuffix: 消 息 ( 即 调用 
[NSString hasSuffix:]) ， 正 常情 况 下 它 的 实现 是 
判断 NSString 对 象 有 没有 茶 个 后 绥 ; WRIT 
实现 替换 成 hasPrefix: 的 实现 ， 那 么 NSString 对 象 
在 收 到 hasSuffix: 消 恩 后 ， 实 际 进行 的 操作 是 “ 口 是 
心 非 ?地 判断 这 个 NSString 对 象 有 没有 某 个 前 组 

(prefix) 。 是 不 是 容易 理解 一 些 了 ? 


第 3 章 提 到 的 Logos 语 法 主要 是 对 此 函数 作 了 

JAHR, Ein tr Objective-C žr hook 
码 变 得 更 简单 直观 了 ， 但 其 的 层 实现 仍 完 全 基于 
MSHookMessageEx ° XT Objective-CER ZR 
hook， 推 存 使 用 更 一 目 了 人 然 的 Logos 语 法 。 如 果 对 
MSHookMessageEx 本 刁 的 使 用 感 兴 趣 ， 可 以 去 看 
它 的 官方 文档 ， 或 者 Google 搜 索 “cydiasubstrate 
人 
以 “http://www.cydiasubstrate.com” 开 头 的 那个 链接 
WI 


MSHookFunction 作 用 于 C 和 和 C++ 两 数 ， 
编写 沪 编 指令 ， 在 进程 执行 到 function 时 转 而 执行 
replacement， 同 时 保存 function 的 指令 及 其 返回 地 


址 ， 使 得 用 户 可 以 选择 性 地 执行 function， 并 你 证 
进程 能 够 在 执行 完 replacement 后 继续 正名 运行 。 


EEX A] Bea EBORE. IX H PS 
图 来 解释 一 下 ， 先 看 图 4-2。 


在 多 4-2 中 ， 进 程 苑 执行 一 蔡 指 令 ， 再 执行 图 
数 A， 接 着 执行 剩 下 的 指令 。 如 果 钧 住 (hook) 
TAZA ( 即 上 面 说 的 function) ， 想 用 函数 B 

(Rlreplacemen) 替换 它 ， 那 么 进程 的 执行 流程 
就 变 成 了 图 4-3 的 样子 。 


Process 


Instructions 


Function A 


Instructions 


图 4-2 FEIE UTE 


Process 


Instructions Huncitono 


Function B 


Instructions 


图 4-3 ”用 B 替 换 A 


在 图 4-3 中 ， 进 程 移 执行 一 些 指令 ， 在 原本 应 
TAD EK BA A Hy ES Bll EK EBA (i ETT EBL 
B, [Hh] Ra AR TCR E MobileHookerP& f£ T F 
来 。 在 函数 B 中 ， 可 以 选 摔 是 否 执行 范 数 A， 以 及 


何 时 执行 画 数 A， 在 函数 B 执 行 完成 后 ， 则 会 继续 
执行 剩 下 的 指令 


值得 注意 的 是 ，MSHookFunction 对 function 的 
日 令 总 长 度 是 有 了 要求 的 ， 即 function 里 所 有 指令 加 
起 来 的 长 度 不 能 太 短 (saurik 曾 在 非 正 式 的 场合 里 
说 过 大 约 是 至 少 8 字 节 ， 但 此 数字 未 经 严格 验证 ， 
请 不 要 以 此 为 准 ) 。 那 么 你 可 能 会 可 了 ， 如 有 果 想 
FE (hook) 那些 短 函 数 ， 该 怎么 办 呢 ? 


一 种 变通 的 方法 是 钓 住 (hook) 短 函 数 内 部 
调用 的 其 他 函数 一 一 短 函 数 之 所 以 短 ， 是 因为 内 
部 一 般 都 调用 了 其 他 函数 ， 由 其 他 函数 来 做 出 实 
际 操作 。 因 此 把 长 大 满足 要 求 的 其 他 函数 作为 
MSHookFunction 的 目标 ， 然 后 在 replacement 里 做 


HPEH, FRE SOE, ENE 
AER Ss EX BRE T. 9 


MARA SiS Baa MAZE, KR, 
在 了 解 了 MSHookFunction 大 概 的 工作 原理 之 后 ， 
BU Ma BABI, RRR ET eB AIX LEA 
容 。 需 要 说 明 的 是 ， 这 个 例子 里 会 涉及 比较 多 的 
底层 知识 ， 对 于 新 手 来 说 理解 会 有 一 定 的 困难 ， 
AUR eA! Te] REA INK, Mi RTE 
子 也 没关系 ， 直 接 跳 到 4.1.2 广 吧 。 当 你 在 实际 操 
作 中 磁 到 了 类 似 的 情况 ， 再 来 回 看 这 一 小 广 ， 相 
信 那 时 会 对 这 些 内 容 有 更 好 的 理解 。 此 外 ， 欢 迎 
来 http:/bbs.iosre.com 参 与 讨论 。 


下 面 一 起 来 完成 如 下 损 作 。 


1) 用 Theos 新 建 iOSRETargetApp， 命 令 如 


^ 


snakeninnys-MacBook:Code snakeninny$ /opt/theos/bin/nic.pl 
NIC 2.0 - New Instance Creator 


[1.] iphone/application 

[2.] iphone/library 

[3.] iphone/preference bundle 
[4.] iphone/tool 


[5.] iphone/tweak 
Choose a Template (required): 1 
Project Name (required): iOSRETargetApp 
Package Name [com.yourcompany.iosretargetapp]: 
com.iosre.iosretargetapp 
Author/Maintainer Name [snakeninny]: snakeninny 
Instantiating iphone/application in iosretargetapp/... 
Done. 


2) 修改 RootViewControllermm ， 命 令 如 下 : 


#import "RootViewController.h" 
class CPPClass 
{ 
public: 
void CPPFunction(const char *); 


3 
void CPPClass::CPPFunction(const char *argO) 
{ 
for (int i = 0; i < 66; i++) // This for loop makes 
this function long enough to validate MSHookFunction 
{ 
u_int32_t randomNumber ; 
if (i % 3 == 0) randomNumber = 
arc4random_uniform(1); 


NSProcessInfo *processInfo = [NSProcessInfo 
processInfo]; 

NSString *hostName - processInfo.hostName; 

int pid - processInfo.processIdentifier; 

NSString *globallyUniqueString - 
processInfo.globallyUniqueString; 

NSString *processName - processInfo.processName; 

NSArray *junks - Q[hostName, 
globallyUniqueString, processName]|; 

NSString *junk = @""; 

for (int j = 0; j < pid; j++) 


i if (pid % 6 == 0) junk = junks[j % 3]; 
P (i % 68 == 1) NSLog(@"Junk: %@", junk); 
E CPPFunction: %s", arg0); 
E "C" void CFunction(const char *arg0) 
{ 


for (int i = 0; i < 66; i++) // This for loop makes 
this function long enough to validate MSHookFunction 
{ 
u_int32_t randomNumber ; 
if (i % 3 == 0) randomNumber = 
arc4random_uniform(1); 
NSProcessInfo *processInfo = [NSProcessInfo 
processInfo]; 
NSString *hostName = processInfo.hostName; 
int pid = processInfo.processIdentifier; 
NSString *globallyUniqueString = 
processInfo.globallyUniqueString; 
NSString *processName - processInfo.processName; 
NSArray *junks - Q[hostName, 
globallyUniqueString, processName]; 
NSString *junk = @""; 
for (int j = 0; j < pid; j++) 
{ 


} 
if (i % 68 == 1) NSLog(@"Junk: %@", junk); 


if (pid % 6 == 0) junk = junks[j % 3]; 


} 
NSLog(Q"iOSRE: CFunction: %s", arg0); 


j 


extern "C" void ShortCFunction(const char *arg0) // 


ShortCFunction is too short to be hooked 


CPPClass cppClass; 
cppClass.CPPFunction(argO); 


Qimplementation RootViewController 
- (void)loadView { 
self.view = [[[UIView alloc] initWithFrame: [[UIScreen 
mainScreen] applicationFrame]] autorelease]; 
self.view.backgroundColor - [UIColor redColor]; 
- (void)viewDidLoad 
[super viewDidLoad]; 
CPPClass cppClass; 
cppClass.CPPFunction("This is a C++ function!"); 
CFunction("This is a C function!"); 
ShortCFunction("This is a short C function!"); 


Qend 


上 面 简单 地 写 了 一 个 
CPPClass::CPPFunction、 一 个 CFunction 和 一 个 
ShortCFunction， 作 为 hook 的 对 象 。 这 里 特意 在 
CPPClass::CPPFunction 和 CFuntion 里 添加 了 一 些 
无 用 代码 ， 目 的 仅仅 是 增加 这 两 个 函数 的 长 度 ， 
使 得 针对 它们 俩 的 MSHookFunction 生 效 。 而 
ShortCFunction 会 因 长 度 太 短 ， 导 和 致 针对 它 的 


MSHookFunction 失 效 。 但 是 在 接 下 来 的 tweak 中 


会 巧妙 地 回避 这 个 问题 。 


3) 修改 iDOSRETargetApp 的 Makefile 并 安装 ， 
mou P: 


=) 


THEOS DEVICE IP = iOSIP 
ARCHS = armv7 arm64 
TARGET = iphone: latest:8.0 
include theos/makefiles/common.mk 
APPLICATION NAME = iOSRETargetApp 
iOSRETargetApp FILES - main.m iOSRETargetAppApplication.mm 
RootViewController.mm 
iOSRETargetApp FRAMEWORKS - UIKit CoreGraphics 
include $(THEOS MAKE PATH)/application.mk 
after-install:: 

install.exec "su mobile -c uicache" 


TE ETERS +, iUnd RJ"su mobile-c 
uicache” Fi 2E gl REBUT., iios H 
iOSRETargetAppKl tp » TE Terminal E3217 *make 
package install” 命 令 将 其 安装 到 设备 上 “。 运 行 


iOSRETargetApp， 行 红色 背景 显示 之 后 ssh 到 iOS 


上 ， 看 看 产生 的 输出 与 期 每 的 结果 是 否 相 答 ， 如 
T: 


FunMaker-5:- roots grep iOSRE: /var/log/syslog 

Nov 18 11:13:34 FunMaker-5 iOSRETargetApp[5072]: iOSRE: 
CPPFunction: This is a C++ function! 

Nov 18 11:13:34 FunMaker-5 iOSRETargetApp[5072]: iOSRE: 
CFunction: This is a C function! 

Nov 18 11:13:35 FunMaker-5 iOSRETargetApp[5072]: iOSRE: 
CPPFunction: This is a short C function! 


4) HjTheos3T£EiOSREHookerTweak, íi All 
下 : 


snakeninnys-MacBook:Code snakeninny$ /opt/theos/bin/nic.pl 
NIC 2.0 - New Instance Creator 


[1.] iphone/application 

[2.] iphone/library 

[3.] iphone/preference bundle 
[4.] iphone/tool 


[5.] iphone/tweak 
Choose a Template (required): 5 
Project Name (required): iOSREHookerTweak 
Package Name [com.yourcompany.iosrehookertweak]: 
com.iosre.iosrehookertweak 
Author/Maintainer Name [snakeninny]: snakeninny 
[iphone/tweak] MobileSubstrate Bundle filter 
[com.apple.springboard]: com.iosre.iosretargetapp 
[iphone/tweak] List of applications to terminate upon 
installation (space-separated, '-' for none) [SpringBoard]: 
iOSRETargetApp 


Instantiating iphone/tweak in iosrehookertweak/... 
Done. 


5) 修改 Tweak.xm， 命 令 如 下 : 


#import <substrate.h> 

void (*old ZN8CPPClass11CPPFunctionEPKc)(void *, const char 
*); 

void new__ZN8CPPClassi1CPPFunctionEPKc(void *hiddenThis, 
const char *argO0) 


{ 

if (strcmp(argO, "This is a short C function!") == 0) 
old__ZN8CPPClassi1CPPFunctionEPKc(hiddenThis, "This is a 
hijacked short C function from 
new__ZN8CPPClass11CPPFunctionEPKc!"); 

else old ZN8CPPClassid1CPPFunctionEPKc(hiddenThis, 
"This is a hijacked C++ function!"); 
} 
void (*old CFunction)(const char *); 
void new CFunction(const char *arg0) 
{ 

old_CFunction("This is a hijacked C function!"); // 
Call the original CFunction 


void (*old_ShortCFunction)(const char *); 
void new ShortCFunction(const char *arg@) 
{ 

old_CFunction("This is a hijacked short C function 
from new ShortCFunction!"); // Call the original 
ShortCFunction 


} 

%ctor 

{ 
@autoreleasepool 
{ 


MSImageRef image = 
MSGet ImageByName("/Applications/i0SRETargetApp.app/i0OSRETarg 
etApp"); 

void *__ZN8CPPClass11CPPFunctionEPKc = 
MSFindSymbol(image, "__ZN8CPPClass11CPPFunctionEPKc" ) ; 


if (__ZN8CPPClass11CPPFunctionEPkc ) 
NSLog(Q"iOSRE: Found CPPFunction!"); 

MSHookFunction( (void 
*) ZN8CPPClassid1CPPFunctionEPKc, (void 
*)&new__ZN8CPPClassi1CPPFunctionEPKc, (void 
**)&old ZN8CPPClassi1CPPFunctionEPKc); 

void * CFunction - MSFindSymbol(image, 
" CFunction"); 

if ( CFunction) NSLog(Q"iOSRE: Found 
CFunction!"); 

MSHookFunction((void *) CFunction, (void 
*)&new CFunction, (void **)&old CFunction); 

void * ShortCFunction = MSFindSymbol(image, 
" ShortCFunction"); 

if ( ShortCFunction) NSLog(Q"iOSRE: Found 
ShortCFunction!"); 

MSHookFunction((void *) ShortCFunction, (void 
*)&new ShortCFunction, (void **)&old ShortCFunction); // 
This MSHookFuntion will fail because ShortCFunction is too 
short to be hooked 

} 

} 


在 这 段 代码 中 ， 有 很 多 需要 注意 的 地 方 ， 如 
D 


.MSFindSymbol 的 作用 


fel HU, MSFindSymboal h HEA kI E 
f£ (hook) 的 Symbol。 那 symbol 又 是 什么 呢 ? 


Cr 


在 计算 机 中 ， 一 个 函数 的 指令 被 存放 在 一 段 
内 存 中 ， 当 进程 需要 执行 这 个 钞 数 时 ， 它 必须 知 
道 要 去 内 存 的 哪个 地 方 找到 这 个 男 数 ， 然 后 执行 
它 的 指令 。 也 吏 是 说 ， 进 程 要 根据 这 个 函数 的 名 
称 ， 找 到 它 在 内 存 中 的 地 址 ， 而 这 个 名 称 与 地 址 
的 映射 天 系 ， 是 存储 在 “symbol table” 中 的 
“symbol table” 中 的 symbol 就 是 这 个 函数 的 名 
称 ， 进 程 会 根据 这 个 symbol 找 到 它 在 内 存 中 的 地 
址 ， 然 后 跳 转 过 去 执行 。 


试想 这 样 一 个 场景 :你 的 软件 调用 了 一 个 
库 ， 这 个 库 里 有 一 个 lookup 男 数 ， 用 于 到 你 的 服 
务 如 上 僵 询 信息 。 故 一 个 软件 如 末 知 道 了 这 个 函 
数 的 symbol， 那 它 忆 不 是 可 以 导入 这 个 库 ， 然 后 


BS XS lookup. (AEH AR sS bth, NEA 
Ce PEA? 


为 了 避免 这 种 情况 ，symbol 被 分 为 2 类 ， 即 
public symbol private symbol (其 实 还 有 一 类 
stripped symbol， 但 跟 本 章 天 系 不 大 ， 这 里 就 不 介 
绍 了 ， 感 兴趣 的 朋友 可 以 浏 哆 下 面 提供 的 参考 链 
接 ， 或 目 行 查阅 相关 资料 ) 。 别 人 的 private 
symbol 不 是 你 想 用 ， 想 用 束 能 用 。 也 束 是 说 ， 
MSHookFunction 直 接 作 用 在 private symbol 上 十 无 
效 的 。 所 以 saurik 提 供 了 MSFindSymbol 这 个 API 来 
访问 private symbol。 如 果 你 仍然 不 清楚 什么 是 
symbol， 只 需要 记 住 下 面 的 写法 就 好 : 


MSImageRef image = 
MSGetImageByName("/path/to/binary/who/contains/the/implement 
ation/of/symbol"); 

void *symbol - MSFindSymbol(image, "symbol"); 


其 中 MSGetImageByName 的 参数 是 “symbol 代 
表 的 函数 其 实现 (implementation) 所 在 的 二 进 制 
SPA BAe” > HULSE, ASI, NSLog 
函数 的 实现 位 于 Foundation 库 ， 所 以 对 于 NSLog 这 
个 Symbol 来 说 ，MSGetImageByName 的 参数 职 应 


NS 


“/System/Library/Frameworks/Foundation.framew 


ai 


ork/Foundation" ° 简单 吧 ? 


对 MSFindSymbol 另 数 更 评 细 的 解释 可 以 参考 
其 官方 文档 
http://www.cydiasubstrate.com/api/c/MSFindSymbol 
/; 天 于 symbol 的 种 类 及 定义 ， 请 阅读 
http://msdn.microsoft.com/en- 


us/library/windows/hardware/ff553493(v-vs.85).asp 


x, Uk 

http://en.wikibooks.org/wiki/Reverse Engineering/M 
ac OS X4Symbols Types, EXE BTISTH 5t 

料 。 


:Symbol 的 来 源 


你 可 能 已 经 注意 到 了 ， 我 们 在 
iOSRETargetApp 的 RootViewControllermm 中 定义 
的 3 个 函数 名 分 别 是 CPPClass::CPPFunction ` 
CFunction 和 ShortCFunction， 怎 么 到 了 
iOSREHookerTweak 的 tweak.xm 里 ， 它 们 却 变 成 了 
. ZN8CPPClass11CPPFunctionEPKc ` CFunction 
Ml ShortCFunction? 简单 地 说 ， 这 是 因为 编译 着 

对 函数 名 做 了 进一步 的 处 理 。 处 理 过 程 是 什么 样 
的 不 需要 关心 ， 我 们 关心 鸭 是 处 理 结果 ， 这 3 个 以 


下 划 线 开头 的 Symbol 是 怎么 来 的 ? 因为 在 实战 

中 ， 我 们 拿 不 到 被 hook 画 数 的 源 代码 ， 所 以 一 般 
情况 下 ， 这 些 symbol 都 是 从 IDA 对 二 进 制 文 件 的 
分 析 结 果 中 提取 的 。 下 面 来 看 一 个 简单 的 例子 。 


把 iOSRETargetApp 二 进 制 文 件 丢 到 IDA 里 ， 
初始 分 析 完 成 后 的 Functions Window 如 图 4-4 所 


一 -一 


7? 


Function name 

[f] _main 

JiOSRETargetAppApoplication applicationD... — 
-iOSRETargetAppApplication dealloc] 
JiOSRETargetAppApolication window] 
J[iOSRETargetAppApplication setWindow:] 
CPPClass::CPPFunction(char const*) 

. CFunction 

_ShortCFunction 

-[RootViewController load View] 
-[RootViewController viewDidLoad] 
j__obje_setProperty_nonatomic 
_objc_msgSend 

_objc_msgSendSuper2 
_objc_msgSend_stret 
_objc_setProperty_nonatomic 

_NSLog 

. UlApplicationMain 

. Stack chk fail 

.arcárandom uniform 


四 
F 
F 
四 


[ii 
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图 4-4 Function window 


可 以 看 到 ，CPPClass::CPPFunction(char 
const*) ^ _CFunction 和 ShortCFunctionfy 7l] E: rH » 
cE “CPPClass::CPPFunction(char const*)”, EE 
到 其 实现 上 ， 如 图 4-5 所 示 。 


BAIT BRIAR ES SS, PERS 
fH symbol » FIE, _CFunction#_ShortCFunction 
的 来 源 也 显而易见 了 ， 如 图 4-6 和 图 4-7 所 示 。 


; Attributes: bp-based frame 


; CPPClass::CPPFunction(char const*) 
EXPORT — ZNSCPPClassllCPPFunctionEPKc 
. ZNS8CPPClassllCPPFunctionEPKc 


var 48-7 -0x48 
-0x44 
-0x40 
-0x3C 
-0x38 
-0x34 
-0x30 
-0x2C 
-0x28 
-0x24 
-0x20 
-OxlC 


图 4-5 CPPClass::CPPFunction(char const*) 


; Attributes: bp-based frame 


EXPORT CFunction 
 CFunction 


-0x48 
-0x44 
-0x40 
-0x3C 
-0x38 
-0x34 
-0x30 
-0x2C 
-0x28 
-0x24 
-0x20 
-OxilC 


var 48-7 
var 44- 
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图 4-6 CFunction 


EXPORT ShortCFunction 
ShortCFunction 
MOV R1, RO 


É4-7  ShortCFunction 


此 方法 适用 于 查找 任何 symbol， 在 初学 阶 
段 ， 建 议 不 要 纠结 symbol 是 怎么 生成 鸭 ， 对 这 个 
知识 点 的 “不 知 其 所 以 然 " 无 念 大 雅 ， 只 需要 记 住 
symbolik KAA [HR] T » FEAR] a LER 
RST REP, symbolB BAS — AE S TELS HO FR 
入 你 的 知识 体系 ， 无 须 刻 意 去 强化 。 


:MSHookFunction 的 写法 


MSHookFunction 的 三 个 参数 的 作用 分 别 是 
HABERENT ^ BIRKS, DI t MobileHooker 
CRAP ER EK * ZL AEA SRT ET, PARA — A 
MSHookFunctionEN ACE 1x E HJ, WRAS 
固定 的 体系 来 承载 它 ， 这 个 体系 的 写法 如 下 : 


#import <substrate.h> 
returnType (*old_symbol) (args); 
returnType new_symbol(args) 


{ 


// Whatever 


void InitializeMSHookFunction(void) // This function is 
often called in %ctor i.e. constructor 


MSImageRef image - 
MSGet ImageByName("/path/to/binary/who/contains/the/implement 
ation/of/symbol"); 

void *symbol - MSFindSymbol(image, "symbol"); 

if (symbol) MSHookFunction((void *)symbol, (void 
*)&new symbol, (void **)&old symbol); 

else NSLog(Q"Symbol not found!"); 
} 


相信 对 比 了 上 面 的 Tweak.xm， 你 很 快 就 能 理 
解 这 套 体 系 的 合 义 了 。 与 Symbol 的 情况 类 似 ， 在 
KRR, REDERE (hook) 的 函数 的 源 
AES, ERR ze RAE, LL 
returnType 究 竟 是 什么 ，args 一 共有 几 个 ， 各 是 什 
么 类 型 ， 我 们 一 无 所 知 。 这 时 ， 束 需要 借助 更 高 
级 的 逆向 工程 技术 来 还 原 出 被 钧 住 (hook) AYER 
数 原型 了 。 这 部 分 知识 会 在 第 6 章 重点 讲述 ， 现 在 
不 理解 完全 是 正常 的 。 建 议 读 者 在 看 完 第 6 章 后 复 
习 本 下 的 内 容 ， 一 定 会 有 新 的 体会 。 


6) 修改 iOSREHookerTweak 的 Makefile 并 安 


Te, MAT: 


THEOS DEVICE IP = iOSIP 
ARCHS = armv7 arm64 
TARGET = iphone:latest:8.0 
include theos/makefiles/common.mk 
TWEAK NAME = i0SREHooker Tweak 
iOSREHookerTweak FILES = Tweak.xm 
include $(THEOS MAKE PATH)/tweak.mk 
after-install:: 
install.exec "killall -9 iOSRETargetApp" 


到 这 里 ， 请 再 次 运行 iOSRETargetApp， 看 看 
产生 的 和 输出， 确定 结果 是 否 符 合 预期 ， 如 下 : 


FunMaker-5:~ root# grep iOSRE: /var/log/syslog 

Nov 18 11:29:14 FunMaker-5 iOSRETargetApp[5327]: iOSRE: 
Found CPPFunction! 

Nov 18 11:29:14 FunMaker-5 iOSRETargetApp[5327]: iOSRE: 
Found CFunction! 

Nov 18 11:29:14 FunMaker-5 iOSRETargetApp[5327]: iOSRE: 
Found ShortCFunction! 

Nov 18 11:29:14 FunMaker-5 iOSRETargetApp[5327]: iOSRE: 
CPPFunction: This is a hijacked C++ function! 

Nov 18 11:29:14 FunMaker-5 iOSRETargetApp[5327]: iOSRE: 
CFunction: This is a hijacked C function! 

Nov 18 11:29:14 FunMaker-5 iOSRETargetApp[5327]: iOSRE: 
CPPFunction: This is a hijacked short C function from 
new ZN8CPPClassi1CPPFunctionEPKc! 


值得 一 提 的 是 ， 对 短 函 数 〈 即 
ShortCFunction) 的 直接 hook 失 将 了 (否则 会 输 
出 “This is a hijacked short C function from 
new ShortCFunction!") , WA A KRUN SPURS HIR 
其 他 函数 (BUCPPClass::CPPFunction) 的 hook 却 
是 有 效 的 ， 可 通过 判断 它 的 参数 ， 推 测 出 它 的 调 
用 者 是 ShortCFunction， 这 样 一 来 ， 即 可 间接 hook 
短 函 效 ， 从 而 达到 围 瑶 救 赵 的 效 末 。 以 上 介绍 的 
MSHookFunction 体 系 基本 涵盖 了 初学 者 可 能 倍 到 
的 所 有 问题 ， 由 于 Theos 仅 提供 了 
MSHookMessageEx 的 封装 ， 掌 握 这 人 套 体 系 的 用 法 
就 显得 尤为 重要 了 。 如 采 还 有 什么 不 明日 的 地 
方 ， 可 到 http://bbs.iosre.com 上 讨论 。 


4.1.2 MobileLoader 


MobileLoader 的 作用 是 加 载 第 三 方 dylib。 在 
iOS 启 动 时 ， 会 由 launchd 将 MobileLoader 载 入 内 
存 ， 然 后 MobileLoader 会 根据 dylib 的 同名 plist 文 件 
指定 的 作用 范围 ， 有 选择 地 在 不 同 进 程 里 通过 
dlopen 函 数 打 开 目 
录 /Library/MobileSubstrate/DynamicLibraries/ 下 的 
所 有 dylib。 这 个 plist 文 件 的 格式 已 在 Theos 部 分 评 
ZUR. UE AN ele © MIT KRABI BIOS [8] 
工程 师 来 说 ，MobileLoader 的 工作 过 程 是 完全 透 
明 的 ， 此 处 仅 作 人 简单 了 解 即 可 。 


4.1.3 Safe mode 


应 用 的 质量 民 秀 不 齐 ， 程 序 朋 视 在 所 难免 。 
因为 tweak 的 本 质 是 dylib， 寄 生 在 别 的 进程 里 ， 一 
Anta, ARES SBC Ma REAB YR, m EBay 


HJXéSpringBoard F RAH E, Dll 3E BIOS HE 
痪 ， 所 以 CydiaSubstrate 引 入 了 Safe mode, ES} 
获 SIGTRAP、SIGABRT、SIGILL、SIGBUS ` 
SIGSEGV、SIGSYS 这 6 种 信号 ， 然 后 进入 安全 模 
式 ， 如 图 4-8 所 示 。 


We apologize for the inconvenience, 
but SpringBoard has just crashed. 


MobileSubstrate /did not/ cause this 
problem: it has protected you from it. 


Your device is now running in Safe 
Mode. All extensions that support this 
safety system are disabled. 


Reboot (or restart SpringBoard) to 
return to the normal mode. To return to 
this dialog touch the status bar. 


Tap "Help" below for more tips. 


OK 


图 4-8 ”安全 模式 


在 安全 模式 里 ， 所 有 基于 CydiaSubstrate 的 第 
三 方 dylib 均 会 修 荣 用 ， 便 于 查 包 与 修复 。 但 是 ， 


并 不 是 拥有 了 Safe modest Ber ttc, ERZ 
候 ， 设 备 还 是 会 因为 第 三 方 dylib 的 原因 而 无 法 进 
入 系统 ， 症 状 主 要 有 : 开机 时 卡 在 日 平 采 上 ， 或 
者 进度 疾 不 俘 地 转 。 在 出 现 这 种 情况 时 ， 可 以 同 
时 按 住 home 和 1lock 键 便 重 局 ， 然 后 按 住 音量 “+” 键 
来 完全 葵 用 CydiaSubstrate， 行 系统 重启 完毕 后 ， 
再 来 得 稍 与 修复 。 当 问题 被 成 功 修复 后 ， 再 重 局 
一 次 iOS， 就 能 重新 启用 CydiaSubstrate 了， 非常 
Pa 


4.2  Cycript 


Cycriptzé FisaurikffE HAH ABS (如 图 
4-9 所 示 ) ， 可 以 看 作 是 Objective-JavaScript ° 


eeeco 中 国联 通 = 23:13 9 8696 E+ 


€ Installed Details Modify 


Cycript 
0.9.502 


© Change Package Settings > 


4, Author Jay Freeman (saurik) > 


Cycript is an inlining, optimizing, 
_ JavaScript-to-JavaScript compiler and  : 
. immediate mode console environment. : 


When used as an execution frontend, 
Cycript bridges access to Objective-C 
primitives using an extended syntax, 
providing for memory allocation, 
pointer indirection, and message 
dispatch. 


With Cydget, Cycript can be used 
inside of HTML script elements when 
tagged with the special MIME type 


"tayt/cvcrint" alloawinna for coamlacc 


Ca 


Installed 


图 4-9  Cycript 


很 多 朋友 可 能 会 因为 不 了 解 JavaScript， 上 所 以 
TES RW BU ACycript(Rigie o BSL, Barty 
不 懂 JavaScript， 因 为 懒得 学 习 新 知识 ， 所 以 在 知 
道 Cycript 的 很 长 一 段 时 间 里 故意 无 视 它 ， 直 到 有 
一 次 在 公司 的 无 聊 会 议 中 把 玩 MTerminal， 在 
Cycript 中 完成 了 几 个 函数 的 测试 ， 市 省 了 不 少时 
间 ， 才 重新 认识 这 门 语法 简单 而 功能 强大 的 语 
言 。 其 实 对 于 熟悉 Objective-C 的 朋友 们 来 说 ， 脚 
本 语言 不 难 上 手 ， 只 要 克服 目 己 的 县 难 情绪 ， 驳 
一 定 能 快速 掌握 它 ，Cycript 当 然 也 不 例外 。 
Cycript 具 备 脚 本 语言 的 便利 ， 可 以 直接 用 来 写 
App， 但 saurik 目 己 都 说 : “This isn't quite‘ready for 
primetime”; 笔者 认为 ，Cycript 最 为 贴心 和 实用 
的 功能 是 它 可 以 帮助 我 们 轻松 测试 函数 歼 采 ， 整 
个 过 程 安全 无 副作用 ,效果 十 分 显 闭 ， 实 乃 业 界 


民心 ! 因此 ， 本 书 只 对 此 功能 作 简 单 介 绍 ， 更 多 
评 细 资料 可 参阅 它 的 官网 http://www.cycript.org ° 


可 以 从 MTerminal 中 执行 Cycript， 也 可 以 ssh 
下 iOS 中 执行 Cycript。 输 入 “cycript*”， 出 现 “cy#* 提 
示 符 ， 说 明 已 成 功 局 动 Cycript， 如 下 : 


FunMaker-5:- root# cycript 
Cy# 


在 启动 Cycript 之 后 ， 就 可 以 开始 编写 App 
了 。 因 为 这 里 主要 用 到 它 测 弃 函 效 的 功能 ， 而 不 
是 用 它 来 写 App， 所 以 需要 把 代码 注入 一 个 现成 
的 进程 中 ， 让 代码 运行 起 来 。 按 下 “control+D”， 
移 退 出 Cycript。 一 般 来 说 ， 选 择 注 入 哪个 进程 ， 
要 依 测试 的 具体 函数 而 定 ， 这 个 函数 所 属 的 类 存 
在 于 哪些 进程 ， 则 注入 这 些 进 程 ， 从 而 保证 这 个 


类 是 存在 的 。 这 人 句 话 的 舍 义 有 些 难以 理解 ， 举 例 
说 明 如 下 。 


假如 现在 要 测试 PhoneApplication 类 的 
+sharedNumberFormatter 芳 数 功 能 及 其 返回 值 ， 则 
必须 注入 MobilePhone 这 个 进程 ， 因 为 
PhoneApplication 类 只 存在 于 MobilePhone 进 程 
中 ; 同 理 ， 如 果 要 测试 SBUIController 类 的 - 
lockFromSource: 国 数 功能 ， 则 必须 注入 
SpringBoard 这 个 进程 ; 当然 ， 如 果 要 测试 
NSString 类 的 -length 了 芳 数 功能 及 其 返回 ， 则 可 注入 
任意 链接 了 Foundation 库 的 进程 。 因 为 需要 用 
Cycript 测 试 的 一 般 都 是 私有 孙 数 ， 所 以 一 个 尽 的 


EK 
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TU iA MA FET AE, BCT AEB 
这 个 库 的 进程 来 测试 。 


曾 过 进程 注入 方式 调用 Cycript 测 试 一 数 的 步 
骤 很 测 单 ， 以 SpringBoard 为 例 ， 首 先 找 到 进程 名 
或 PID， 如 下 : 


FunMaker-5:~ root# ps -e | grep SpringBoard 

4567 ?? 0:27.45 
/System/Library/CoreServices/SpringBoard.app/SpringBoard 
4634 ttys000 0:00.01 grep SpringBoard 


SpringBoard 进 程 的 PID 是 4634。 接 下 来 输 
入 “cycript-p 4634” 或 “cycript-p SpringBoard”， 把 
Cycript 注 入 SpringBoard， 这 时 ，Cycript 吏 已 经 运 
行 在 SpringBoardj 进 程 里 ， 可 以 开始 测试 了 ° 


我 们 都 知道 ，UIAlertView 是 iOS 中 使 用 最 多 
的 弹 杠 类。 使 用 Objective-C 语 言 ， 弹 出 一 个 对 话 


框 只 需要 3 行 代码 ， 如 下 : 


UIAlertView *alertView = [[UIAlertView alloc] 
initWithTitle:Q"iOSRE" message:Q"snakeninny" delegate:nil 
cancelButtonTitle:Q"OK" otherButtonTitles:nil]; 
[alertView show]; 

[alertView release]; 


Ei Objective-Ci8 zi $45 B Cycript3E 5$ fal 
单 ， 如 下 : 


FunMaker-5:- root# cycript -p SpringBoard 

cy# alertView = [[UIAlertView alloc] initWithTitle:Q"iOSRE" 
message:@"snakeninny" delegate:nil cancelButtonTitle:Q"OK" 
otherButtonTitles:nil] 

Z"«UlAlertView: 0x1700e580; frame = (0 0; © 0); layer = 
«CALayer: 0x164146c0>>" 

cy£ [alertView show] 

cy# [alertView release] 


不 需要 声明 对 象 类 型 ， 也 不 需要 结尾 的 分 
F, MELAR E s WRK AREE, Cycrip 
会 把 它 在 内 存 中 的 地 址 及 一 些 基 本 信息 实时 打印 


出 来 ， 非 党 直观。 执行 上 面 的 语句 后 ， 
SpringBoard 会 弹出 对 话 框 ， 如 图 4-10 所 示 。 


iOSRE 


snakeninny 


OK 


图 4-10 ”用 Cycript 执 行 代码 


如 果 知 道 一 个 对 象 在 内 存 中 的 地 址 ， 可 以 通 
过 “#” 操 作 符 来 获取 这 个 对 象 ， 例 如 : 


cy# [[UIAlertView alloc] initwithTitle:Q"iOSRE" 
message:Q"snakeninny" delegate:nil cancelButtonTitle:Q"OK" 
otherButtonTitles:nil] 

#"<UTAlertView: 0x166b4fb0; frame = (0 0; © 0); layer = 
«CALayer: 0x16615890>>" 

cy# [40x166b4fbO show] 

cy# [40x166b4fbO release] 


如 条 知道 一 个 类 对 象 存 在 于 当前 的 进程 中 ， 
EUAN AEE AEE, AN BEE HO BR VET RAR BY 

， 此 时 ， 不 妨 试 斌 choose 命令 ， 它 的 用 法 如 
下 : 


cy# choose(SBScreenShotter ) 
[#"<SBScreenShotter: 0x166e0e20>" | 
cy# choose(SBUIController ) 
[#"<SBUIController: 0x16184bf0>" | 


只 需要 choose 一 个 类 ，Cycript 就 能 帮 你 在 内 
存 中 找 出 一 个 它 的 对 象 ， 供 你 使 用 。 太 方便 了 是 


不 是 ? 不 过 ，choose 命 令 并 不 是 百 发 百 中 的 ， 当 
它 不 能 退回 给 你 一 个 可 用 对 象 时 ， 豆 必须 手动 寻 
找 了 。 这 部 分 内 容 会 在 第 6 草 详细 介绍 。 


测试 私有 函数 的 方法 用 到 的 一 般 也 束 定 上 面 
几 个 命令 ， 下 面 以 登 永 iMessage 的 Apple ID 为 例 ， 
用 Cycript 测 试 并 实现 这 个 功能 。 先 拿 惠 iMessage 
MERKE ge, fp: 


FunMaker-5:~ root# cycript -p SpringBoard 
cy# controller = [CNFRegController 
controllerForServiceType:1] 
#"<CNFRegController: 0x166401e0>" 


然后 登 永 目 己 的 iMessage， 命 令 如 下 : 


cy# [controller 
beginAccountSetupWithLogin:Q"snakeninnyQgmail.com" 
password:Q"bbs.iosre.com" foundExisting:NO] 

#"IMAccount: 0x166e7b30 [ID: 5A8E19BE-1BC9-476F-AD3B- 
729997FAA3BC Service: IMService[iMessage] Login: 
E:snakeninnyQgmail.com Active: YES LoginStatus: Connected]" 


一 步 相 当 于 是 在 图 4-11 所 示 的 界面 上 做 了 
登 孙 iMessage 的 操作 i 


RBG [8] F— P XESKBLZJRJIMAccount, t, 
izciMessagellk > ° RAIE T WC iMessagel) 
地 址 ， 命 令 如 下 : 


cy# [controller setAliases:@[@"snakeninny@gmail.com" ] 
onAccount :#0x166e7b30 | 
1 


这 一 步 相当 于 是 在 图 4-12 所 示 的 界面 上 做 了 
选择 iMessage 地 址 的 操作 。 


返回 值 表明 操作 成 功 。 最 后 检查 一 下 此 账 与 
EMIA SERIE, WE: 


cy# [#0x166e7b30 CNFRegSignInComplete | 
1 


返回 值 表 明 已 完成 了 iMessage 账 号 的 登录 。 


很 简单 吧 ? 不 用 我 再 解释 什么 了 吧 ? 作为 本 
万 的 练习 ， 下 面 请 目 行 把 刚才 登录 iMessage 有 的 
Cycript 语 言 翻译 成 Objective-C 语 言 ， 并 编写 一 个 
tweak 来 验证 你 的 翻译 是 否 正 确 ， 好 好 体会 一 下 
Cycript 的 用 法 。 注 意 ，Apple ID 的 用 户 名 和 密码 
要 改 成 你 目 己 的 | 


eeeco 中 国联 通 T 23:56 


Cancel iMessage 


Apple ID snakeninnyG gmail.com 


Password 


Sign In 


Forgot Apple ID or password? 


图 4-11  X*2XiMessage 


eseco 中 国联 通 T 00:04 


€ iMessage 


iMessage 


People will message you using your emai 


address. What would you like to use? 


486  bbs.iosre.com 
snakeninnyQ gmail.com 


snakeninny@icloud.com 


图 4-12 ”选择 iMessage 地 址 


4.3 LLDB-debugserver 
43.1 LLDB 简 介 


如 有 果 说 IDA 是 倚天 人 证 ， 那 么 LLDB 束 是 履 龙 
刀 ， 两 者 在 iOS 逆 癌 工 程 中 的 地 位 不 相 上 下 ， 难 分 
伯仲 。LLDB 全 称 为 “Low Level Debugger”， 是 由 
苹果 出 品 ， 内 置 于 Xcode 中 的 动态 调试 工具 ， 不 
{AiHAZC ` C++ ` Objective-C, IER FFOSX ` 
iOS， 以 及 iOS 模 拟 器 。LLDB 的 功能 可 以 概括 为 
以 下 四 点 : 


-在 指定 的 条 件 下 局 动 程序 ; 


:在 指定 的 条 件 下 停止 程序 ; 


-在 程序 停止 的 时 候 检 查 程 序 内 部 发 生 的 事 ; 


:在 程序 俘 止 的 时 候 对 程序 进行 改动 ， 观 察 程 
序 的 执行 过 程 有 什么 变化 。 


LLDBIXZA AWA, tA RSS Terminal + 
ARERR ACS, WEARER, [Hx 
一 旦 掌握 其 基本 用 法 ， 配 合 IDA 双 管 齐 下 ， 就 能 
解决 很 多 难 倒 大 片 初 学 痢 的 问题 ， 投 资 回报 极 

° LLDB 是 运行 在 OSX 中 的 ， 要 想 调试 :OS， 还 


高 
需要 为 一 个 工具 的 配合 ， 它 束 是 debugserver 。 
4.3.2 ”debugserver 倍 介 


debugserver 运 行 在 iOS 上 ， 顾 名 思 义 ， 它 作为 
服务 端 ， 实 际 执行 LLDB 〈 作 为 客户 端 ) 传 过 来 


的 售 令 ， 再 把 执行 结 来 反 尾 给 LLDB， 有 显示 给 用 


HB ^ 


户 ， 即 所 谓 的 “远程 调试 ”。 在 默认 情况 下 ，iOS 上 
并 没有 安装 debugserver， 只 有 在 设备 连接 过 一 次 
Xcode， 并 在 Window > Devices 采 蛙 中 添加 此 设备 
后 ，debugserver 才 会 被 Xcode 安 闭 到 iOS 
HJ*/Developer/usr/bin/" H3* F ° 


但 是 ， 因 为 缺少 task_for_pid 权 限 ， 通 过 
Xcode 安 装 的 debugserver 只 能 调试 我 们 目 己 的 App 
调试 目 己 的 App 是 正 回 开发 的 事 儿 ， 而 我 们 
是 想 搞 逆 同 工程 ， 我 们 有 上 自己 App 的 源 代码 ， 还 
需要 逆 哪 门 子 向 ?要 能 debug 别 人 的 App 才 够 给 力 
啊 ! 别 担心 ， 下 面 就 以 笔者 的 操作 为 例 ， 看 看 怎 
人 配置 debugserver+LLDB， 动 态 调 试 别人 的 
App， 发 挥 它们 在 逆 癌 工程 中 的 真正 威力 。 


4.3.3 fic Edebugserver 


1. debugserver dati 
对 照 表 4-1， 记 下 设备 的 ARM 信 息 。 


表 4-1 支持 iOS 8 的 设备 一 览 


Name ARM Name ARM 
iPhone 4 m The New iPad 7 
iPho iPad with Ret lispi 
iPho iPad Air 4 
iPhone5s . | | | | am 64 iPad Air 2 4 
iPhone 6 Plus 64 iPad mini with Ret lisplay | | —armó4 i 
iPhone6 | am 64 iPad mini 3 164 
iPad 2 iPod touch 5 nv7 
iPad n rm 


笔者 的 设备 是 iPhone 5， 对 应 的 ARM 是 
armv7s。 将 未 经 处 理 的 debugserver 从 iOS 找 贝 到 
OSX 中 的 “/Users/snakeninny/ 目 未 下 ， 命 令 如 下 : 


snakeninnysiMac:- snakeninny$ scp 
rootQiOSIP:/Developer/usr/bin/debugserver ~/debugserver 


at Ed. fp XUI P: 


snakeninnysiMac:- snakeninny$ lipo -thin armv7s 
~/debugserver -output ~/debugserver 


注意 把 这 里 的 “armv7s” 换 成 你 的 设备 所 对 应 
的 ARM ° 


2. 给 debugserver 凑 加 task_for_pid 权 限 


下 载 http://iosre.com/ent.xml 到 OSX 
的 “Users/snakeninny/” 目 未 ， 然 后 运行 如 下 命令 : 


snakeninnysiMac:- snakeninny$ /opt/theos/bin/ldid -Sent.xml 
debugserver 


HEX. *-S"351Ji 5 *ent.xml" Z eA BRS 
Hy e 

正常 情况 下 ， 上 面 这 条 命令 会 在 5 秒 内 执行 完 
毕 。 如 有 果 ]1did 卡 住 了 ， 执 行 超时 ， 整 换 一 种 方案 : 


PFhttp://iosre.com/ent.plist 
到 “Users/snakeninny”， 然 后 运行 如 下 命令 : 


snakeninnysiMac:- snakeninny$ codesign -s - --entitlements 
ent.plist -f debugserver 


3. 将 经 过 人 处理 的 debugserver 找 回 iOS 


将 经 过 处 理 的 debugserver 找 回 ijOS， 并 添加 执 
行 权 限 ， 命 令 如 下 : 


snakeninnysiMac:~ snakeninny$ scp ~/debugserver 
rootQiOSIP:/usr/bin/debugserver 
snakeninnysiMac:- snakeninny$ ssh root@iOSIP 
FunMaker-5:- roots chmod +x /usr/bin/debugserver 


这 里 之 所 以 把 处 理 过 的 debugserver 存 放 在 iOS 
Hy"/usr/bin/" F, MAA 
闸 “/Developerusrbin/ 下 的 原版 debugserver， 一 是 
因为 原版 debugserver 是 不 可 写 的 ， 无 法 履 兰 ; 二 


E AH “/usr/bin/” FRETA A Pt et AY DÀ 
执行 ， 即 在 任意 目录 下 运行 “debugserver” 都 可 局 
动 处 理 过 的 debugserver ° 


4.3.4 用 debugserver 局 动 或 附加 进程 


debugserver 最 利用 的 2 种 场景 ， 丈 是 局 动 和 附 
加 进程 ， 它 们 的 命令 都 很 测 单 ， 分 别 是 : 


debugserver -x backboard IP:port /path/to/executable 


debugserver= jA executable, ŽP Aport 
口 ， 等 待 来 自 IP 的 LLDB 接 入 。 


debugserver IP:port -a "ProcessName" 


debugserver 会 附加 ProcessName， 并 开局 port 
端口 ， 等 待 来 自卫 的 LLDB 接 入 。 


例如 : 


FunMaker-5:- roots debugserver -x backboard *:1234 
/Applications/MobileSMS.app/MobileSMS 
debugserver -@(#)PROGRAM:debugserver  PROJECT:debugserver- 
320.2.89 

for armv7. 

Listening to port 1234 for a connection from *... 


上 面 的 代码 会 启动 MobileSMS， 并 开启 1234 
m I 待 任意 卫 地 址 的 LLDB 接 入 。 Tfj: 


FunMaker-5:- root# debugserver 192.168.1.6:1234 -a 


"MobileSMS" 
debugserver -@(#)PROGRAM:debugserver  PROJECT:debugserver- 
320.2.89 
for armv7. 
Attaching to process MobileNotes... 
Listening to port 1234 for a connection from 192.168.1.6... 


4l JJIMobilesMS, JfJfJH1234*m L1, SER 
3€ BL 192.168.1.68 JLLDB EA ° 


如 来 上 面 的 命令 在 执行 时 报馆 ， 如 下 : 


FunMaker-5:- root# debugserver *:1234 -a "MobileSMS" 
dyld: Library not loaded: 
/Developer/Library/PrivateFrameworks/ARMDisassembler.framewo 
rk/ARMDisassembler 

Referenced from: /usr/bin/debugserver 

Reason: image not found 
Trace/BPT trap: 5 


说 明 iOS 上 的 %Developer” 目 录 下 缺少 必要 的 
调试 数据 。 这 种 情 这 一 般 是 因为 没有 在 Xcode 的 
Window > Devices FPE, EROS JU 
ix Fe BL n] DURER [RT e 


当 退 出 debugserver 时 ， 当 前 调试 的 进程 也 会 
一 并 退出 。debugserver 的 配置 到 此 结束 ， 接 下 来 
的 所 有 控 作 都 是 在 LLDB 上 完成 的 。 


43.5 ”LLDB 的 使 用 说 明 


在 了 解 LLDB 的 用 法 之 前 ， 需 要 对 LLDB 的 一 
个 大 Bug 有 所 了 解 : Xcode 6 所 附带 的 LLDB (版 
本 号 320.x.xx) 在 armv7 和 armv7s 设 备 上 有 时 会 混 
清 ARM 和 THUMB 指 令 ， 根 本 无 法 调 越 ， 且 在 本 
书 截 稳 之 时 ， 此 Bug 仍 未 得 到 修复 。 一 个 暂时 的 
解决 方案 十 从 
https://developer.apple.com/downloads/index.action 
PX EA Xcode 5.0.1 或 Xcode 5.0.2， 它 们 所 附带 
的 LLDB (版 本 号 300.x.xx) 可 以 正常 调试 armv7 
和 armv7s 设 备 。 在 安 狂 旧版 Xcode 的 时 候 ， 注 意 将 
其 安 竣 在 与 当前 Xcode 不 同 的 路 径 下 ， 

如 /Applications/OldXcode.app， 这 样 就 不 会 影 啊 当 
BIA Xcode 了 。 在 局 用 LLDBH 时 ， 在 Terminal 中 输 
入 如 下 命令 : 


snakeninnysiMac:- snakeninny$ 
/Applications/OldXcode.app/Contents/Developer/usr/bin/lldb 


即 可 启动 旧版 LLDB， 然 后 用 LLDB 连 接 正 在 
等 得 的 debugserver， 命 令 如 下 : 


(lldb) process connect connect://iOSIP:1234 
Process 790987 stopped 
* thread #1: tid = Oxciicb, 0x3995b4f0 
libsystem kernel.dylib mach msg trap + 20, queue = 
'com.apple.main-thread, stop reason - signal SIGSTOP 
frame #0: Ox3995b4fO0 
libsystem kernel.dylib mach msg trap + 20 
libsystem kernel.dylib mach msg trap + 20: 
-> 0x3995b4f0: pop {r4, r5, r6, r8} 
0x3995b4f4: bx lr 
libsystem_kernel.dylib`mach_msg_overwrite_trap: 
0x3995b4f8: mov r12, sp 
0x3995b4fc: push {r4, r5, r6, r8} 


注意 , “process connect 
connect://iOSIP:1234” 的 执行 耗 时 较 长 ， 在 WiFi 条 
件 下 一 般 需 要 3 分 钟 以 上 时 间 ， 请 耐心 等 等 。 
4.6 节 里 ， 会 有 通过 USB 连 接 调 试 的 介绍 ， 届 时 速 
度 会 大 幅 增 加 。 当 进程 集 下 来 时 ， 束 可 以 正式 开 


台 调 试 了 。 接 下 来 看 看 利用 的 LLDB 命 令 有 哪 


HE o 


1.image list 


“image list" GDB FH “info shared” 类 似 ， 用 
于 列举 当前 进程 中 的 所 有 模块 (image) 。 因 为 
ASLR (Address Space Layout Randomization， 详 
见 http://theiphonewiki.com/wiki/ASLR) 的 关系 ， 
每 次 进程 局 动 时 ， 同 一 进程 的 所 有 模块 在 虚拟 内 
存 中 的 起 始 地 址 都 会 产生 随机 偏 移 。 


举 个 简单 的 例子 ， 进 程 A 中 有 一 个 模块 B，B 
模块 的 大 小 是 100 字 节 。 进 程 A 第 一 次 启动 时 ， 模 
块 B 可 能 会 被 加 载 到 虚拟 内 存 的 0x00 到 0x64， 第 
二 次 启动 被 加 载 到 0x10 到 0x74， 第 三 次 被 加 载 到 


~ 


0x60 到 0xC4， 也 就 是 说 它 的 大 小 虽然 未 变 ， 但 起 
始 地 址 每 次 都 在 变 ， 然 而 这 个 起 始 地 址 恰恰 是 接 
下 来 会 频繁 用 到 的 一 个 关键 数据 。 那 么 问题 3 

了 ， 如 何 获 得 这 个 数据 呢 ? 


答案 就 古 使 用 “image list-0- 人 命令 。 符 LLDB 
连接 debugserver 后 ， 输 入 “image list-0- 人 ”命令 ， 输 


出 如 下 : 


(lldb) image list -o -f 

[ 0] 0x000cf000 

/private/var/db/stash/ .29LMeZ/Applications/SMSNinja.app/SMS 
Ninja(0x00000000000d3000) 

[ 1] 0x0021a000 
/Library/MobileSubstrate/MobileSubstrate.dylib(0x00000000002 
1a000) 

[ 2] 0x01645000 
/usr/lib/libobjc.A.dylib(0x00000000307b5000) 

[ 3] 0x01645000 
/System/Library/Frameworks/Foundation.framework/Foundation 
(0x0000000023c4f 000) 

[ 4] 0x01645000 
/System/Library/Frameworks/CoreFoundation.framework/CoreFoun 
dation(0x0000000022f0b000) 

[ 5] 0x01645000 
/System/Library/Frameworks/UIKit.framework/UIKit 
(0x00000000264c1000) 

[ 6] 0x01645000 
/System/Library/Frameworks/CoreGraphics.framework/CoreGraphi 


cs (0x0000000023238000) 


[235] 0x01645000 
/System/Library/Frameworks/CoreGraphics.framework/Resources/ 
libCGXType.A.dylib(0x00000000233a2000) 

[236] 0x0008a000 /usr/lib/dyld(0x000000001fe8a000) 


在 上 面 的 输出 内 容 中 ， 第 一 列 [X] 是 模块 的 序 
号 ; 第 二 列 是 模块 在 虚拟 内 存 中 的 起 始 地 址 因 
ASLR 而 产生 的 随机 偏 移 (以 下 简称 ASLR 偏 
移 ) ; 第 三 列 是 模块 的 全 路 径 ， 括 号 里 是 偏 移 之 
后 的 起 始 地 址 。 各 种 偏 移 ， 各 种 地 址 ， 是 不 是 把 
WEEE T° 没关系 ， 看 一 个 简单 的 示例 你 就 全 明 
HI 


(TULA FEDEA, 10007 SE. ° 
PREM RRR REF, —JHUB600 T 3ET- » 1000740 
fr HR P6007 UT, EERE Py) HAR Be 
排 ， 亢 位 1 放 看 靶子 1， 靶 位 2 放 奢 靶子 2， 依 此 类 
推 ， 驾 位 600 放 着 靶子 600， 而 靶 位 601 到 1000 是 空 


着 的 ， 如 图 4-13 所 示 (EHEM, FAE 
TH? 


600 1000 


6000. Ò- 


600 1000 


图 4-13 ”靶场 (1) 


模块 在 内 存 中 的 起 始 地 址 ， 就 是 靶子 所 在 的 
园 位 ， 术 语 叫 模块 基地 址 (image base 
address) 。 现 在 设 场 觉得 这 样 的 靶子 排列 过 于 简 
单 ， 打 靶 的 人 在 适应 靶子 排列 规律 后 ， 很 容易 百 
发 百 中 ， 因 此 将 每 块 靶 子 往 后 随机 移动 了 知 干 部 
位 ， 移 动 之 后 靶 位 5 放 痢 靶子 1， 靶 位 6 放 痢 靶子 
2， 靶 位 8 放 着 靶子 3， 肢 位 13 放 着 靶子 4， 靶 位 15 
放 着 靶子 5..…. 靶 位 886 放 着 靶子 600， 如 图 4-14 所 


一 -一 人 


qr 


图 4-14 ”靶场 (2) 


EWERT MEE TAE, SEP 2m T4 
MA, Tm SS SEE LL, WTA IST 
M, BEF Ses T 10E, ET 600m [ 286 
^S — APEN (ASLR) 大 大 增加 了 打 
度 的 难度 。 对 于 靶子 1 来 说 ， 偏 移 前 的 基地 址 是 部 
位 1， 偶 移 后 鸭 基 地 址 是 靶 位 5， 而 俩 移 的 值 是 4 个 
SED. BD 


偏 移 后 模块 基地 址 = 偏 移 前 模块 基地 址 + ASL 


回 到 敢 同 工程 的 场景 里 来 ， 以 刚才 “image 
list-o-f” 输 出 中 的 第 4 个 模块 ( 即 Foundation) 为 


例 ， 它 的 ASLR 偏 移 是 0x1645000， 偏 移 后 模块 基 
地 址 是 0x23c4f000， 所 以 它 的 偏 移 前 模块 基地 址 
是 0x23c4f000-0x1645000=0x2260A000 -° 


0x2260A000 是 哪里 来 的 呢 ? 把 Foundation 二 
进 制 文件 拖 到 IDA 里 ， 初 始 分 析 完 成 后 的 界面 如 
图 4-15 所 示 。 


s file has been generated by The Interactive Disass 
Copyright (c e) 2014 Hex-Rays, «support x-rays 
Evaluation version 


HEADER:2260A000 ; 
Li ER:2260A000 ; Input MD5 t rr 
HEADER:2260A000 ; Input CRC32 : 49FAA64 

AD 


图 4-15 ”在 IDA 中 分 析 Foundation 


把 IDA View-A 拉 到 最 上 面 ， 看 到 第 一 行 
H“HEADER:2260A000” T HB? 这 就 是 


0x2260A000 的 来 源 。 


既然 明日 了 “基地 址 ”的 意思 是 “起 始 地 址 ”， 


那么 趁 热 打铁 ， 了 人 解 一 下 与 “模块 基地 址 ”相似 的 


男 一 概念 : 


“符号 基地 址 (symbol base 


address) " ° 回 到 IDA， 在 Functions window E 1€ 


Z&*"NSLog", 7 


Ay 


text:2261AB94 


7 text :2261AB94 


| text:2261AB94 . 


text:2261AB94 


| text:2261AB94 
| text:2261AB94 
[ text:2261AB94 


text:2261AB94 


_ text:2261AB96 
_ text:2261AB98 
_ text:2261AB9A 
_ text:2261AB9C 

1ABAO 


text:226 


[ text:2261ABA4 
__text:2261ABA8 
[ text:2261ABAA 


[ text:2261ABB4 


| text:2261ABB6 ; 


text:2261ABB6 


后 跳 转 到 它 的 实现 ， 如 图 4-16 所 


; CODE XREF: 
; -[NSLock lc 


SP, SP, #0xC 
,LR) 


, LR} 
SP, SP, #0xC 
LR 


图 4-16 NSLog 


因为 Foundation 的 基地 址 是 已 知 的 ， 而 NSLog 
函数 在 Foundation 中 的 位 置 是 固定 的 ， 所 以 可 以 根 
据 下 面 的 公式 ， 得 出 NSLog 的 基地 址 : 


NSLog 的 基地 址 = NSLog 在 Foundation 中 的 相对 位 置 + Foundation 的 基地 
址 


那 *NSLog 函 数 在 Foundation 中 的 相对 位 置 又 
是 什么 昵 ? 回 到 图 4-16，NSLog 画 数 第 一 条 指 
令 “SUB SP,SP,#0xC” 左 边 的 那个 数 0x2261AB94， 
代表 NSLog 在 Foundation 中 的 位 置 ， 减 去 
Foundation 第 一 行 “HEADER:2260A000” 中 提取 出 
2850x2260A000, HNLAENSLogEÉN ZI EFoundation 
中 的 相对 位 置 ， 即 0x10B94 ° 


因此 ，NSLog 的 基地 址 
=0x10B94+0x23c4f000=0x23C5FB94。 细 心 的 朋友 


一 定 已 经 发 现 了 ， 公 式 


偏 移 后 模块 基地 址 = 偏 移 前 模块 基地 址 + ASL 


稍 作 修 改 ， 束 可 以 用 到 符号 基地 址 的 计算 
d 


偏 移 后 符号 基地 址 = 偏 移 前 符号 基地 址 + 符号 所 在 模块 的 ASLR 偏 移 


下 面 来 验证 一 下 。 


NSLog 的 偏 移 前 从 号 基地 址 是 0x2261AB94， 
Foundation 的 ASLR 偏 移 是 0x1645000， 两 者 相 加 
正 是 0x23C5FB94 ° 


举一反三 ， 指 令 基地 址 的 计算 也 可 以 套用 上 
面 的 公式 : 


偏 移 后 指令 基地 址 = 偏 移 前 指令 基地 址 + 指令 所 在 模块 的 ASLR 偏 移 


HN, TI EUER SOS Dy ENS — SRS 
令 的 基地 址 。 


ER PORN, SA SU fs Js t 
Ab, BUDE Lasts, ME 
住 : 偏 移 前 基地 址 从 IDA 里 看 ，ASLR 偏 移 从 
LLDB 里 看 ， 两 者 相 加 就 是 偏 移 后 基地 址 。 至 于 
看 哪里 ， 怎 么 看 ， 文 中 也 已 解释 清楚 ， 现 在 要 靠 
你 自己 完全 掌握 了 ° 


2.breakpoint 


“breakpoint” 写 GDB 中 的 “break” 类 似 ， 用 于 设 
置 断 点 。 在 人 逆 同 工程 中 一 般 用 到 的 是 : 


b function 


=) 


或 
br s -a address 


以 及 


br s -a 'ASLROffset-«address' 


Hate ER CEPR ee, OR a 


TS: 


(l1ldb) b NSLog 
Breakpoint 2: where = Foundation`NSLog, address = 0x23c5fb94 


后 两 着 在 地 址 处 设置 断 点 ， 如 下 面 的 命令 : 


(lldb) br s -a OxCCCCC 
Breakpoint 5: where = 
SpringBoard 3. lldb unnamed function303$$SpringBoard, 
address = 0x000ccccc 
(lldb) br s -a '0x6+0xQ' 
Breakpoint 6: address - 0x0000000f 


注意 ， 在 输出 的 “Breakpoint X:” F, iv TX 
汤 扣 的 序号 ， 舟 后 就 会 用 到 。 当 进程 停 在 断 点 上 
时 ， 断 总 所 在 的 那 一 行 代 码 并 未 得 到 执行 。 


因为 敢 癌 工程 中 的 调试 涉及 的 多 十 汇编 代 
码 ， 所 以 大 多 数 情况 下 部 是 在 某 一 条 汇编 指令 上 
PR. ERKA DE BRABUS 5 BEI Um 
iHe LSE, PBA EA ie aH, B 
面 已 经 详细 讲解 过 了 。 我 们 以 在 “- 
[SpringBoard menuButtonDown:]" HANH — 2&8 
QE EAA, 3C P BRTEDIUEE ° 


(1) 用 IDA 查 看 偏 移 前 基地 址 


在 IDA 中 打开 SpringBoard 二 进 制 文件 ， 行 初 
始 分 析 结 束 后 切换 到 Text view, EMEI- 


[SpringBoard_menuButtonDown:]”， 如 图 4-17 所 


AN? 


可 以 看 到 ， 第 一 条 指令 “PUSH{R4- 
R7,LR}” 的 偏 移 前 基地 址 是 0x17730 ° 


(2) 用 LLDB 查 看 ASLR 偏 移 
和 多 ssh 到 iOS 中 配置 debugserver， 命 令 如 下 : 


snakeninnysiMac:- snakeninny$ ssh rootQiOSIP 
FunMaker-5:- roots debugserver *:1234 -a "SpringBoard" 
debugserver -@(#)PROGRAM:debugserver  PROJECT:debugserver- 
320.2.89 

for armv7. 
Attaching to process SpringBoard... 

Listening to port 1234 for a connection from *... 


text:00017730 ; SpringBoard ~ (void) menuButtonDown:(struct IOHIDEvent *) 
text:00017730 ; Attributes: bp-based frame 

text:00017730 

text:00017730 ; void _ cdecl -[SpringBoard  menuButtonDown:](struct SpringE 
text:00017730 _ SpringBoard  menuButtonDown __ ; DATA XREF: — objc 
text:00017730 
text:00017730 var 68 
text:00017730 var 64 
text:00017730 var $0 
text:00017730 var 5C 
text:00017730 var 58 
text:00017730 var 54 
text:00017730 var 50 
text:00017730 var 4C 
text:00017730 var 48 
text:00017730 var 44 
text:00017730 var 40 
text:00017730 var 3C 
text:00017730 var 38 
text:00017730 var 34 
text:00017730 var 30 
text:00017730 var 2C 
text:00017730 var 28 
text:00017730 var 24 
text:00017730 var 20 
text:00017730 var 1C 
text:00017730 
text:00017730 (RA-R7,LR) 
.text:00017732 R7, SP, #0xC 


-0x68 
-0x64 
-0x60 
-0x5C 
-0x58 
-0x54 
-0x50 
-0x4C 
-0x48 
-0x44 
-0x40 
-0x3C 
-0x38 
-0x34 


LLLLLLLLLLELEELLILI 
Cot ee rs i 


| 
I 


图 4-17 [SpringBoard_menuButtonDown:] 


然后 在 OSX 中 用 LLDB 远 程 连接 ， 并 查看 
ASLR 偏 移 ， 命 令 如 下 : 


snakeninnysiMac:- snakeninny$ 
/Applications/OldXcode.app/Contents/Developer/usr/bin/lldb 
(lldb) process connect connect://iOSIP:1234 
Process 93770 stopped 
* thread #1: tid = 0x16e4a, Ox30dee4fO 
libsystem kernel.dylib mach msg trap + 20, queue = 
'com.apple.main-thread, stop reason - signal SIGSTOP 
frame #0: Ox30dee4fO0 
libsystem kernel.dylib mach msg trap + 20 
libsystem kernel.dylib mach msg trap + 20: 
-> 0x30dee4f0: pop ir4, r5, r6, r8) 
Ox30dee4f4: bx lr 
libsystem kernel.dylib mach msg overwrite trap: 


Ox30dee4f8: mov r12, sp 

Ox30dee4fc: push ir4, r5, r6, r8} 
(lldb) image list -o -f 
[0] 0x000b5000 
/System/Library/CoreServices/SpringBoard.app/SpringBoard 
(0x00000000000b9000) 
[1] 0x006ea000 
/Library/MobileSubstrate/MobileSubstrate.dylib(0x00000000006 
ea000 ) 
[2] 0x01645000 
/System/Library/PrivateFrameworks/StoreServices.framework/St 
oreServices (0x000000002ca70000) 
[3] 0x01645000 
/System/Library/PrivateFrameworks/AirTraffic.framework/AirTr 
affic (0x0000000027783000) 
[419] 0x00041000 /usr/lib/dyld(0x000000001fe41000) 

(1ldb) c 

Process 93770 resuming 


SpringBoard 模 块 的 ASLR 偏 移 是 0xb5000 » 
(3) 设置 并 触发 断 点 


Ek. 958— 2&1H^ BJ mi Ee Jes dd he 
0x17730+0xb5000=0xCC730 ° YELLDB F ij A “br 
s-a 0xCC730”* 即 可 在 第 一 条 指令 处 设 下 断 点 ， 如 
F: 


(lldb) br s -a 0xCC730 

Breakpoint 1: where - 

SpringBoard . lldb unnamed function299$$SpringBoard, 
address - 0x000cc730 


按 下 设备 上 的 home 键 ， 触 发 晰 点 ， 如 下 : 


(lldb) br s -a 0xCC730 
Breakpoint 1: where - 
SpringBoard | lldb unnamed function299$$SpringBoard, 
address - 0x000cc730 
Process 93770 stopped 
* thread #1: tid = Oxi6e4a, 0x000cc730 
SpringBoard _ lldb unnamed function299$$SpringBoard, queue 
- 'com.apple.main-thread, stop reason - breakpoint 1.1 
frame #0: O0x000cc730 
SpringBoard 3. lldb unnamed function299$$SpringBoard 
SpringBoard . lldb unnamed function299$$SpringBoard: 
-> 0xcc730: push {r4, r5, ro. r7, 1r} 
0xcc732: add r7, sp, #12 
Oxcc734: push.w {r8, r10, r11} 
0xcc738: sub sp, #80 
(lldb) p (char *)$r1 
(char *) $0 = 0x0042f774 "_menuButtonDown:" 


IE PREZE, AALA E 
续 运 行 。LLDB 相 较 于 GDB 的 一 个 重大 改进 ， 
可 以 在 进程 运行 的 过 程 中 输入 LLDB 命 令 。 需 要 
注意 的 是 ， 部 分 进程 (如 SpringBoard) 在 停止 一 


| 一 | 


段 时 间 后 会 因 啊 应 超时 而 目 动 重 局 ， 对 于 这 类 进 
程 ， 要 尽量 让 它 维持 在 运行 状态 ， 避 人 免 因 目 动 重 
局 而 导致 调试 信息 丢失 的 悲剧 发 生 。 


还 可 以 通过 “br dis" ^ “br en” 和 “br del” 系 列 命 
令 来 禁用 、 局 用 和 删除 断 点 。 如 果 要 茜 用 所 有 上 晰 
点 (“dis” 代 表 “disable”) ， 命 令 如 下 : 


(lldb) br dis 
All breakpoints disabled. (2 breakpoints) 


ZE HORT SB RE S RI P: 


(lldb) br dis 6 
1 breakpoints disabled. 


启用 所 有 断 点 〈“en” 代 表 “enable”) 的 命令 如 
下 : 


(lldb) br en 
All breakpoints enabled. (2 breakpoints) 


局 用 茶 个 断 点 的 命令 如 下 : 


(lldb) br en 6 
1 breakpoints enabled. 


HIRATA ES Cdel"fexE*delete"). 的 命令 如 


(lldb) br del 
About to delete all breakpoints, do you want to do that?: 
[Y/n] Y 


删除 某 个 断 点 的 命令 如 下 : 


(lldb) br del 8 
1 breakpoints deleted; 0 breakpoint locations disabled. 


为 一 个 非常 有 用 的 命令 ， 是 指定 在 某 个 断后 
得 到 触发 的 时 候 ， 执 行 预先 设置 的 指令 ， 它 的 用 


法 如 下 (假设 1 号 断 点 位 于 某 个 objc_msgSend 函 数 
JE 


(lldb) br com add 1 


执行 这 条 命令 后 ，LLDB 会 要 求 我 们 设置 一 
系列 指令 ， 以 “DONE” 结 束 ， 如 下 : 


Enter your debugger command(s). Type 'DONE' to end. 
> po [$rO class] 

> p (char *)$r1 

>Cc 

> DONE 


AEWA T SRS, 1 SRA, SAL 
会 顺序 执行 它们 ， 如 下 : 


(1ldb) c 

Process 97048 resuming 

__NSArrayM 

(char *) $11 = Ox26c6bbc3 "count" 
Process 97048 resuming 

Command #3 'c' continued the target. 


“br com add” 命 令 一 般 用 于 目 动 观 察 某 个 断 点 
被 触发 时 其 上 下 文 的 变化 ， 找 到 进一步 分 析 的 线 
索 ， 在 本 书 的 后 半 部 分 ， 将 会 看 到 它 的 使 用 场 


a. [9] 
A 
3.print 


LLDB 的 主要 功能 之 一 是 “在 程序 停止 的 时 候 
检查 程序 内 部 发 生 的 事 ”， 而 这 个 功能 正 是 通 
过 “print” 命 令 完 成 的 ， 它 可 以 打印 某 处 的 值 。 仍 
然 以 “-[SpringBoard_menuButtonDown:]” 里 的 指令 
为 例 ， 演 示 它 的 一 系列 用 法 ， 如 图 4-18 所 示 。 


己 知 “MOYVS R6,#0” 的 偏 移 后 基地 址 为 
0xE37DE， 在 这 条 指令 上 下 一 个 断 点 ， 待 断 点 被 
触发 后 ， 看 看 当前 R6 的 值 ， 如 下 : 


; char menuButtonDown; 
$(:lowerl6:( OBJC IVAR $ Sp 
0 


&(:upperl6:( OBJC IVAR $ Sp 
#1 
PC ; char menuButtonDown; 
#0 
[RO] ; char menuButtonDown; 
[R11,R0] 
|. 177FA 


图 4-18  [SpringBoard menuButtonDown:] 


(lldb) br s -a OxES37DE 
Breakpoint 2: where - 
SpringBoard _ lldb unnamed function299$$SpringBoard + 174, 
address - 0x000e37de 
Process 99787 stopped 
* thread Z1: tid = 0x185cb, 0x000e37de 
SpringBoard . lldb unnamed function299$$SpringBoard + 174, 
queue - 'com.apple.main-thread, stop reason - breakpoint 2.1 
frame #0: 0x000e37de 

SpringBoard . lldb unnamed function299$$SpringBoard + 174 
SpringBoard . lldb unnamed function299$$SpringBoard + 174: 
-> Qxe37de: movs r6, #0 

Oxe37e0: movt ro, #75 

Oxe37e4: movs ri, #1 

Oxe37e6: add rO, pc 
(lldb) p $r6 
(unsigned int) $1 - 364526080 


此 条 指令 执行 之 后 ，R6 应 该 被 置 0。 H 
Ani PUTAS, FARE AROMA, WF: 


(lldb) ni 
Process 99787 stopped 
* thread #1: tid = 0x185cb, 0x000e37e0 
SpringBoard . lldb unnamed function299 $$SpringBoard + 176, 
queue - 'com.apple.main-thread, stop reason - instruction 
step over 

frame #0: 0x000e37e0 
SpringBoard ` . lldb unnamed function299$$SpringBoard + 176 
SpringBoard . lldb unnamed function299$$SpringBoard + 176: 
-> O0xe37e0: movt ro, #75 

Oxe37e4: movs ri, #1 

Oxe37e6: add rO, pc 

Oxe37e8: cmp r5, #0 
(1ldb) p $r6 
(unsigned int) $2 = 0 
(lldb) c 
Process 99787 resuming 


可 以 看 到 ,，“p” 命 令 将 R6 的 值 正确 打印 了 出 
se 


{£Objective-C'# , [someObject someMethod] 
HEESCHE, Sele 
objc_msgSend(someObject,someMethod), XP, 
前 者 是 一 个 Objective-C 对 象 ， 后 者 则 可 以 强制 转 
换 成 一 个 字符 串 〈 第 6 章 将 详细 讲解 这 些 内 容 ) 。 


在 图 4-19 中 ,，“BLX_objc_msgSend” 执 行 了 


[SBTelephonyManager sharedTelephonyManaer | ° 


R2, #(classRef_SBTelephonyManager - 0x178A0) 
RO, PC ; selRef sharedTelephonyManager 
R2, PC ; classRef SBTelephonyManager 


R1, [RO] ; "sharedTelephonyManager" 
RO, [R2] ; OBJC CLASS $ SBTelephonyManager 
 objc msgSend 


图 4-19 ”还 原 objc_msgSend 


CÁAI*BLX objc msgSend" B5 fm te Jk: db Xe 
0xCC8A2， 在 上 面 下 一 个 断 点 ， 得 触发 后 打印 
出 “objc_msgSend” 有 的 参数 ， 如 下 : 


(lldb) br s -a OxCC8A2 

Breakpoint 1: where - 

SpringBoard . lldb unnamed function299$$SpringBoard + 370, 

address - 0x000cc8a2 

Process 103706 stopped 

* thread Z1: tid - 0x1951a, 0x000cc8a2 

SpringBoard . lldb unnamed function299$$SpringBoard + 370, 

queue - 'com.apple.main-thread, stop reason - breakpoint 1.1 
frame #0: O0x000cc8a2 

SpringBoard . lldb unnamed function299$$SpringBoard + 370 

SpringBoard M lldb unnamed function299$$SpringBoard + 370: 


-> 0xcc8a2: blx 0x3e3798 ; symbol stub for: 
objc msgSend 
0xcc8a6: mov r6, r6 


Oxcc8a8: movw r0, #31088 


Oxcc8ac: movt ro, #74 
(lldb) po [$r0 class] 
SBTelephonyManager 
(lldb) po $ro 
SBTelephonyManager 
(lldb) p (char *)$r1i 
(char *) $2 = 0x0042eee6 "SharedTelephonyManager" 
(1ldb) c 
Process 103706 resuming 


可 以 看 到 ， 用 “po” 命 令 打 印 了 Objective-C 对 
象 ， 用 “p(char*)” 通 过 强制 转换 的 方式 打印 了 C 语 
言 基 本 数据 类 型 对 象 ， 简 单 明 了 。 需 要 注意 的 
是 ， 当 进程 停 在 某 一 条 “BL?” 指 令 上 时 ，LLDB 会 
目 动 解析 这 条 指令 ， 把 指令 中 地 址 对 应 的 符号 注 
释 出 来 ， 如 上 例 中 的 


nm Il 


-> 0xcc8a2: blx 0x3e3798 ; Symbol stub 
for: objc msgSend 


但 是 ，LLDB 的 解 机 有 时 会 出 销 ， 广 释 出 的 
符号 不 对 。 这 种 情况 下 ， 请 以 IDA 毅 仿 解 析出 的 


E UE o 


最 后 ， 可 以 用 “x” 命 令 打 印 一 个 地 址 处 存放 的 
值 ， 如 下 : 


(lldb) p/x $sp 

(unsigned int) $4 = 0x006e838c 

(lldb) x/10 $sp 

0x006e838c: 0x00000000 0x22f2c975 0x00000000 0x00000000 
0x006e839c: Ox26c6bf8c 0x0000000c 0x17a753cO0 0x17a753c8 
Ox006e83ac: 0x000001c8 0x17a75200 

(lldb) x/10 0x006e838c 

0x006e838c: 0x00000000 0x22f2c975 0x00000000 0x00000000 
0x006e839c: Ox26c6bf8c 0x0000000c 0x17a753cO0 0x17a753c8 
Ox006e83ac: O0x000001c8 0x17a75200 


上 面 用 “px” 以 十 六 进 制 方式 打印 了 SP， 它 是 
一 个 指针 ， 值 为 0x6e838c。 而 “x/10” 则 打印 出 了 这 
个 指针 指向 的 连续 10 个 字 (word) 的 数据 。 


4.nexti Æ stepi 


*nexti" 5j “stepi H/F AA absent F RTLA 
指令 ， 它 们 最 大 的 区 别 是 前 者 不 进入 函数 体 ， 而 
后 者 会 进入 函数 体 。 它 们 可 分 别 简 写 


Ani? “si”, EVAN f mea aS Z ° UR 
可 能 会 问 , “进入 或 者 不 进入 函数 体 "， 十 什么 意 
Hi ix HAS 


[SpringBoard_menuButtonDown:]” 里 的 例子 来 说 
明 ， 如 图 4-20 所 示 。 


“BL__SpringBoard _accessibilityObjectWithin 
Proximity 0” 的 偏 移 后 基地 址 是 0xEE92E， 它 调 
用 了 
_SpringBoard__accessibilityObjectWithinProximity_ 

国 效 。 在 它 上 面 下 断 点 ， 然 后 使 用 “ni 命令 ， 
Al P: 


; -[SpringBoard  accessibilityObjectWithinProximity 
. SpringBoard  accessibilityObjectWithinProximity 0 
RO, $OxFF 
loc 17942 


图 4-20 [SpringBoard menuButtonDown:] 


(lldb) br s -a OxEE92E 
Breakpoint 2: where - 
SpringBoard . lldb unnamed function299$$SpringBoard + 510, 
address - 0x000ee92e 
Process 731 stopped 
* thread #1: tid = Ox02db, 0x000ee92e 
SpringBoard . lldb unnamed function299$$SpringBoard + 510, 
queue - 'com.apple.main-thread, stop reason - breakpoint 2.1 
frame #0: 0x000ee92e 
SpringBoard . lldb unnamed function299$$SpringBoard + 510 
SpringBoard . lldb unnamed function299$$SpringBoard + 510: 
-> 0xee92e: bl Ox2fd654 : 
. . .lldb unnamed functioni6e405$$SpringBoard 
0xee932: tst.w rO, #255 
0xee936:  beq 0xee942 ; 
_  lldb unnamed function299$$SpringBoard + 530 


0xee938: blx 0x403f08 ; symbol stub 
for: BKSHIDServicesResetProximityCalibration 
(lldb) ni 


Process 731 stopped 
* thread #1: tid = Ox02db, 0x000ee932 
SpringBoard . lldb unnamed function299$$SpringBoard + 514, 
queue - 'com.apple.main-thread, stop reason - instruction 
step over 

frame #0: 0x000ee932 
SpringBoard . lldb unnamed function299$$SpringBoard + 514 
SpringBoard . lldb unnamed function299$$SpringBoard + 514: 
-> 0xee932: tst.w rO, #255 

0xee936:  beq 0xee942 ; 

_ lldb_unnamed_function299$$SpringBoard + 530 

0xee938: blx 0x403f08 ; symbol stub 
for: BKSHIDServicesResetProximityCalibration 

Oxee93c: movs ro, #0 

(lldb) c 

Process 731 resuming 


可 见 ，“ni" 没 有 进入 


 SpringBoard  accessibilityObjectWithinProximity - 


KRUR o BREA”, WP: 


Process 731 stopped 
* thread #1: tid = Ox02db, 0x000ee92e 
SpringBoard lldb unnamed function299$$SpringBoard + 510, 
queue = 'com.apple.main-thread, stop reason = breakpoint 2.1 
frame #0: 0x000ee92e 

SpringBoard ` . lldb unnamed function299$$SpringBoard + 510 
SpringBoard . lldb unnamed function299$$SpringBoard + 510: 
-» 0xee92e: bl Ox2fd654 s 
_ lldb unnamed functioni6e405$$SpringBoard 

0xee932: tst.w rO, #255 

0xee936:  beq 0xee942 ; 
_ .lldb unnamed function299$$SpringBoard + 530 


0xee938: blx 0x403f08 ; symbol stub 
for: BKSHIDServicesResetProximityCalibration 
(lldb) si 


Process 731 stopped 
* thread #1: tid = 0x02db, Ox002fd654 
SpringBoard’___11db_unnamed_functio0ni6405$$SpringBoard, 
queue = 'com.apple.main-thread, stop reason = instruction 
step into 

frame #0: 0x002fd654 
SpringBoard’___11db_unnamed_function16405$$SpringBoard 
SpringBoard’___11ldb_unnamed_function16405$$SpringBoard: 
-> Ox2fd654: movw ro, #33920 

Ox2fd658: movt ro, #43 

Ox2fd65c: add rO, pc 

Ox2fd65e:  ldrsb.w ro, [r0] 
(1ldb) c 
Process 731 resuming 


*movw r0,#33920” 的 偏 移 前 基地 址 是 
0x226654， 在 IDA 中 如 图 4-21 所 示 。 


图 4-21 


SpringBoard__accessibilityObjectWithinProximity__ 


0 


其 位 于 
_SpringBoard__accessibilityObjectWithinProximity_ 
ORK BAGS, BHs MREFA T KARU, XUL 
是 “进入 或 者 不 进入 函数 体 ” 的 意思 。 


5.register write 
“register write” 命 令 用 于 给 指定 的 寄存 絮 赋 
值 ， 从 而 “对 程序 进行 改动 ， 观 察 程 序 的 执行 过 程 


有 什么 变化 *。 在 图 4-22 所 示 的 代码 中 , 已 
知 “TST.W R0,#0xFF” 的 偏 移 后 基地 址 是 


0xEE7A2， 如 条 R0 的 值 是 0， 进 程 会 走 左 边 的 分 
文 ， 否 则 会 走 右 边 的 分 文 。 


RO，#OxFP 
loc 177B2 


SBFLoggingPriv ptr - 0x177BE) 
ADD RO, PC ; X SBFLoggingPriv ptr 
SBFLoggingPriv 


文 里 下 个 断后 看 看 这 里 RO 的 值 是 多 少 ， 如 


(lldb) br s -a OxEE7A2 

Breakpoint 3: where = 

SpringBoard . lldb unnamed function299$$SpringBoard + 114, 

address = 0x000ee7a2 

Process 731 stopped 

* thread #1: tid = Ox0O02db, 0x000ee7a2 

SpringBoard . lldb unnamed function299$$SpringBoard + 114, 

queue - 'com.apple.main-thread, stop reason - breakpoint 3.1 
frame #0: 0x000ee7a2 

SpringBoard . lldb unnamed function299$$SpringBoard + 114 

SpringBoard .— lldb unnamed function299$$SpringBoard + 114: 


-> O0xee7a2: tst.w rO, #255 
Oxee7a6: bne 0xee7b2 ; 
___1idb_unnamed_function299$$SpringBoard + 130 
0Oxee7a8: bl 0x10d340 ; 
....11db unnamed functionii110$$SpringBoard 
Oxee7ac: tst.w rO, #255 
(lldb) p $ro 
(unsigned int) $0 = 0 


由 于 RO 的 值 是 0， 因 此 在 BNE 的 作用 下 ， 


会 走 左 边 的 分 支 ， 如 下 : 


(lldb) ni 
Process 731 stopped 
* thread #1: tid = Ox02db, 0x000ee7a6 
SpringBoard'. . lldb unnamed function299$$SpringBoard + 118, 
queue - 'com.apple.main-thread, stop reason - instruction 
step over 

frame #0: 0x000ee7a6 
SpringBoard . lldb unnamed function299$$SpringBoard + 118 
SpringBoard — lldb unnamed Salada aaa E + 118: 
-> 0xee7a6: bne Oxee7b2 
___1idb_unnamed_function299$$SpringBoard + 130 

0Oxee7a8: bl 0x10d340 ; 
. ...l1ldb unnamed functionii110$$SpringBoard 

Oxee7ac: tst.w rO, #255 

Oxee7b0O: beq oxee7da ; 

....lldb unnamed function299$$SpringBoard + 170 
(lldb) ni 
Process 731 stopped 
* thread #1: tid = Ox02db, 0x000ee7a8 
SpringBoard . lldb unnamed function299$$SpringBoard + 120, 
queue - 'com.apple.main-thread, stop reason - instruction 
step over 

frame #0: 0x000ee7a8 

SpringBoard . lldb unnamed function299$$SpringBoard + 120 
SpringBoard . lldb unnamed function299$$SpringBoard + 120: 
-> 0xee7a8: bl 0x10d340 " 


_  lldb unnamed functioni110$$SpringBoard 
Oxee7ac: tst.w rO, #255 
Oxee7b0O: beq 0xee7da : 
_ .lldb unnamed function299$$SpringBoard + 170 
Oxee7b2:  movw ro, #2174 


册 次 触发 断 点 ， 通 过 “register write” MS 5 EX 
R0 的 值 为 1， 看 看 它 会 走 哪 个 分 文 ， 如 下 : 


Process 731 stopped 
* thread #1: tid = Ox02db, 0x000ee7a2 
SpringBoard . lldb unnamed function299$$SpringBoard + 114, 
queue - 'com.apple.main-thread, stop reason - breakpoint 3.1 

frame #0: 0x000ee7a2 
SpringBoard . lldb unnamed function299$$SpringBoard + 114 
SpringBoard . lldb unnamed function299$$SpringBoard + 114: 
-> O0xee7a2: tst.w rO, #255 

Oxee7a6: bne Oxee7b2 ; 
_ .lldb unnamed function299$$SpringBoard + 130 

0Oxee7a8: bl 0x10d340 i 
.  .lldb unnamed functionii110$$SpringBoard 

Oxee7ac: tst.w rO, #255 
(1ldb) p $r0 
(unsigned int) $5 = 0 
(lldb) register write ro 1 
(1ldb) p $ro 
(unsigned int) $6 = 1 
(lldb) ni 
Process 731 stopped 
* thread #1: tid = Ox02db, 0x000ee7a6 
SpringBoard . lldb unnamed function299$$SpringBoard + 118, 
queue - 'com.apple.main-thread, stop reason - instruction 
step over 

frame #0: 0x000ee7a6 

SpringBoard _ lldb unnamed function299$$SpringBoard + 118 
SpringBoard — lldb unnamed A E * 118: 
-> 0xee7a6: bne Oxee7b2 

___1idb_unnamed_function299$$SpringBoard + 130 


Oxee7a8: bl 0x10d340 H 
_  lldb unnamed functioni110$$SpringBoard 

Oxee7ac: tst.w rO, #255 

Oxee7b0O: beq 0xee7da 

. ..lldb unnamed function299$$SpringBoard + 170 
(1ldb) 
Process 731 stopped 
* thread #1: tid = Ox02db, 0x000ee7b2 
SpringBoard . lldb unnamed function299$$SpringBoard + 130, 
queue - 'com.apple.main-thread, stop reason - instruction 
step over 

frame #0: 0x000ee7b2 

SpringBoard . lldb unnamed function299$$SpringBoard + 130 
SpringBoard . lldb unnamed function299$$SpringBoard + 130: 
-> Oxee7b2: movw ro, #2174 

Oxee7b6: movt ro, #63 

Oxee7ba: add rO, pc 

Oxee7bc: ldr ro, [r0] 


此 时 ， 进 程 改 道 右 边 的 分 文 了 。 


LLDB 的 命令 还 有 很 多 种 ， 这 里 只 列举 了 iOS 
逆向 工程 初期 最 常用 的 五 种 ， 和 希望 读者 能 够 括 一 
斑 而 见 全 鹏 ， 感 受到 LLDB 的 强大 威力 。LLDB 仍 
处 在 开发 阶段 ， 除 了 几 个 官方 网 站 ， 还 未 见 成 玖 
的 教程 ，LLDB 脱 胎 于 GDB， 虽 然 两 者 的 命令 有 
鞭 别 ， 但 用 法 和 思路 是 一 脉 相 承 的 。 要 想 完 整地 


AAARLLDBBUfSHj, HE Feb) GE“Peter’s GDB 
tutorial” Fl“RMS’s gdb Debugger Tutorial” (Google 
一 下 ) 。IDA 宜 静 ，LLDB 宜 动 ， 熟 练 地 使 用 这 两 
个 工具 是 成 为 敢 同 高 手 的 必 经 之 路 。 


4.3.6 LLDB 使 用 小 提示 


1. 调 试 的 二 进 制 文件 必须 从 iOS 中 拓 取 


IDA 分 析 的 二 进 制 文 件 必须 与 LLDB 调 试 的 二 
进 制 文件 相同 ， 这 样 偏 移 订 基 地 址 、ASLR 仿 移 、 
偏 移 后 基地 址 才能 对 应 得 上 。IDA 分 析 的 二 进 制 
文件 可 以 通过 第 "— decache LA MAX 
机 获取 ; 从 其 他 渠道 CUSDK ^ Betas) 提取 
的 文件 一 般 不 能 用 作 动 态 调试 。 


2.LLDB 中 的 人 简化 输入 


在 使 用 LLDB 时 ， 如 果 想 重复 执行 上 一 条 指 
令 ， 直 接 按 回 车 键 就 可 以 了 ; 如 果 想 查看 以 前 执 
行 过 的 指令 ， 按 方向 键 的 网 上 和 向 下 键 就 可 以 


一 | 


LLDB 的 命令 都 很 简单 ， 但 怎么 用 简单 的 命 

令 去 解决 复杂 的 问题 ， 却 不 简单 。 在 第 6 章 还 会 列 
举 一 些 LLDB 的 第 用 场景 ， 但 在 那 之 前 ， 请 大 家 
务必 和 擎 握 本 和 的 知识 。 


4.4 dumpdecrypted 


症 面 在 介绍 class-dump 时 提 到 过 ， 从 AppStore 
下 载 的 App (以 下 人 简称 StoreApp) 是 被 苹果 加 密 过 
的 (从 其 他 渠道 下 载 的 一 般 没 有 加 密 ) ， 可 执行 
文件 个 僚 上 了 一 层 你 扩 膏 ， 而 class-dump 无 法 作用 
于 加 禾 过 的 App。 在 这 种 情况 下 ， 想 要 获取 头 文 
件 ， 需 要 区 解密 App 的 可 执行 文件 ， 俗 称 “ 磺 
壳 ”。dumpdecrypted 束 是 由 越狱 和 社区 的 知名 人 士 
Stefan Esser ((piOn1c) Wank, TX 
越狱 社区 广 沁 运用 在 iOS 逆 同 工 程 研 究 中 。 


dumpdecrypted 在 GitHub 上 开源 了 ， 得 目 行 编 
译 才 能 使 用 。 下 面 吏 从 零 开始 ， 以 一 个 虚构 的 
TargetApp.app 为 例 ， 引 导 大 家 进行 一 次 完整 的 


Appi, HAZOTS HIN, MAEA E 
VE ° 


1) 从 GitHub 下 载 dumpdecrypted 源 码 ， 命 令 
如 下 : 


snakeninnysiMac:- snakeninny$ cd /Users/snakeninny/Code/ 
snakeninnysiMac:Code snakeninny$ git clone 
git://github.com/stefanesser/dumpdecrypted/ 

Cloning into 'dumpdecrypted'... 

remote: Counting objects: 31, done. 

remote: Total 31 (delta 0), reused 0 (delta 0) 

Receiving objects: 100% (31/31), 6.50 KiB | 0 bytes/s, done. 
Resolving deltas: 100% (15/15), done. 

Checking connectivity... done 


2) 编译 dumpdecrypted.dylib， 命 令 如 下 : 


snakeninnysiMac:~ snakeninny$ cd 
/Users/snakeninny/Code/dumpdecrypted/ 
snakeninnysiMac:dumpdecrypted snakeninny$ make 

"Xcrun --sdk iphoneos --find gcc -Os -Wimplicit -isysroot 
"Xcrun --sdk iphoneos --show-sdk-path' -F'xcrun --sdk 
iphoneos --show-sdk-path /System/Library/Frameworks -F xcrun 
--sdk iphoneos --show-sdk- 

path’ /System/Library/PrivateFrameworks -arch armv7 -arch 
armv7s -arch arm64 -c -o dumpdecrypted.o dumpdecrypted.c 
"Xcrun --sdk iphoneos --find gcc -Os -Wimplicit -isysroot 
"Xcrun --sdk iphoneos --show-sdk-path' -F'xcrun --sdk 
iphoneos --show-sdk-path /System/Library/Frameworks -F'xcrun 


--sdk iphoneos --show-sdk- 

path /System/Library/PrivateFrameworks -arch armv7 -arch 
armv7s -arch arm64 -dynamiclib -o dumpdecrypted.dylib 
dumpdecrypted.o 


上 面 的 make 命 令 执 行 完毕 后 ， 会 在 当前 目 邓 
下 生成 一 个 dumpdecrypted.dylib 文 件 ， 这 就 是 等 
硬 壳 所 要 用 到 的 椰 头 。 此 文件 生成 一 次 即 可 ， 以 
后 可 以 重复 使 用 ， 下 次 古 壳 时 无 须 再 重新 编译 。 


3) 用 ps 命令 定位 符 古 壳 的 可 执行 文件 。 在 
iOS 8 中 ，StoreApp 全 部 位 
T/var/mobile/Containers/ 下， 其 中 可 执行 文件 位 
T/var/mobile/Containers/Bundle/Application/X XX X 
XXXX-XXXX-XXXX-XXXX- 
XXXXXXXXXXXX/TargetApp.app/ 下。 我 们 不 知 
道 X 是 什么 ， 肉 眼 定位 需要 手工 授 历 所 有 目录 ， 
劳民伤财 ， 但 一 个 人 简 蛙 的 小 技巧 吏 可 以 省 时 省 


Jj: 首先 在 iOS 中 关 控 所 有 StoreApp， 然 后 打开 
Target， 接 看 ssh 到 iOS 上， 打印 出 所 有 进程 ， 如 
下 : 


snakeninnysiMac:- snakeninny$ ssh rootQiOSIP 
FunMaker-5:~ root# ps -e 


PID TTY TIME CMD 
1 ?? 3:28.32 /sbin/launchd 
5717 ?? 0:00.21 
/System/Library/PrivateFrameworks/MediaServices.framework/Su 
pport/mediaartworkd 
5905 7?? 0:00.20 sshd: root@ttys000 
5909 ?? 0:01.86 


/var/mobile/Containers/Bundle/Application/03B61840 - 2349 - 
4559 -B28E -0E2C6541F879/TargetApp.app/TargetApp 
5911 ?? 0:00.07 


/System/Library/Frameworks/UIKit.framework/Support/pasteboar 


dd 
5907 ttys000 0:00.03 -sh 
5913 ttys000 0:00.01 ps -e 


因为 OS 上 只 打开 了 一 个 StoreApp， 所 以 唯一 
的 那个 含 


有 “/var/mobile/Containers/Bundle/Application/” 字 样 


的 结果 就 是 TargetApp 可 执行 文件 的 全 路 径 。 


A) HiCycriptiX Hi TargetAppÉ Documents H 5x 
路 径 。StoreApp 的 Documents 目 永 位 
F/var/mobile/Containers/Data/Application/Y YYYY 
YYY-YYYY-YYYY-YYYY-YYYYYYYYYYYY/ 
下 ,YY 与 之 前 的 X 值 不 同 ， 而 且 这 次 PS 也 帮 不 上 全 
T ° K, 借助 强大 的 Cycript， 让 App 告 诉 
我 们 Documents 的 路 径 。 命 令 如 下 : 


FunMaker-5:- root# cycript -p TargetApp 

cy# [[NSFileManager defaultManager ] 
URLsForDirectory:NSDocumentDirectory 

inDomains :NSUserDomainMask ] [0] 
Z"file:///var/mobile/Containers/Data/Application/D41C4343- 
63AA-ABFF -904B-2146128611EE/Documents/" 


5) -+dumpdecrypted.dylib¥4 Jl $lDocuments 
Hae P »$50l ig m P: 


snakeninnysiMac:- snakeninny$ scp 
/Users/snakeninny/Code/dumpdecrypted/dumpdecrypted.dylib 
rootQiOSIP:/var/mobile/Containers/Data/Application/D41C4343- 
63AA-ABFF -904B-2146128611EE/Documents/ 


dumpdecrypted.dylib 
100% 193KB 192.9KB/s 00:00 


6) Frantz » dumpdecrypted.dylibH H 1€ 


gu 


DYLD_INSERT_LIBRARIES=/path/to/dumpdecrypted.dylib 
/path/to/executable 


SEEDER FRE OR Bie: 


FunMaker-5:~ root# cd 
/var/mobile/Containers/Data/Application/D41C4343 - 63AA - 4BFF - 
904B-2146128611EE/Documents/ 

FunMaker -5:/var/mobile/Containers/Data/Application/D41C4343- 
63AA-ABFF-904B-2146128611EE/Documents root# 

DYLD INSERT LIBRARIES-dumpdecrypted.dylib 
/var/mobile/Containers/Bundle/Application/03B61840-2349- 
4559 -B28E -0E2C6541F879/TargetApp.app/TargetApp 

mach-o decryption dumper 

DISCLAIMER: This tool is only meant for security research 
purposes, not for application crackers. 

[+] detected 32bit ARM binary in memory. 

[+] offset to cryptid found: @0x81a78(from 0x81000) = a78 
[+] Found encrypted data at address 00004000 of length 
6569984 bytes - type 1. 


[*] Opening 
/private/var/mobile/Containers/Bundle/Application/03B61840- 
2349-4559-B28E-OE2C6541F879/TargetApp.app/TargetApp for 
reading. 

[*] Reading header 

[*] Detecting header type 

[*] Executable is a plain MACH-O image 

[*] Opening TargetApp.decrypted for writing. 

[*] Copying the not encrypted start of the file 

[*] Dumping the decrypted data into the file 

[*] Copying the not encrypted remainder of the file 

[+] Setting the LC ENCRYPTION INFO-»cryptid to 0 at offset 
a78 

[+] Closing original file 

[+] Closing dump file 


当前 目 孙 下 会 生成 TargetApp.decrypted， 即 古 
壳 后 的 文件 ， 如 下 : 


FunMaker-5:/var/mobile/Containers/Data/Application/D41C4343- 
63AA-4BFF-904B-2146128611EE/Documents root# ls 
TargetApp.decrypted dumpdecrypted.dylib OtherFiles 


赶 公 把 三 壳 后 的 文件 搁 贝 到 OSX 上 备用 吧 ， 
class-dump、IDA 等 工具 已 经 迫 不 及 行 啦 。 


以 上 6 步 还 算 简 洁 明 了 ， 但 可 能 会 有 朋友 问 ， 
为 什么 要 把 dumpdecrypted.dylib 揽 贝 到 Documents 


Hox PERF? 


问 得 好 。 我 们 都 知道 ，StoreApp 对 沙 盒 以 外 
的 绝 大 多 数目 录 没 有 写 权 限 。dumpdecrypted.dylib 
要 写 一 个 decrypted 文 件 ， 但 它 是 运行 在 StoreApp 
中 的 ， 与 StoreApp 的 权限 相同 ， 那 么 它 的 写 控 作 
驶 必须 发 生 在 StoreApp 拥 有 写 权 限 的 路 径 下 才能 
EJ ° StoreApp— 3E e Re 2 A Documents H 3% 
的 ， 因 此 在 Documents 目 录 下 使 用 
dumpdecrypted.dylibH 上 时， 你 证 它 能 在 当前 目录 下 写 
一 个 decrypted 文 件 ， 这 吏 是 把 dumpdecrypted.dylib 
搁 贝 到 Documents 目 孙 下 操作 的 原因 。 


最 后 来 看 看 如 果 不 放 在 Documents 目 永 下 ， 可 
能 会 出 现 什么 问题 ， 如 下 : 


FunMaker -5: 
/var/mobile/Containers/Data/Application/D41C4343 -63AA - 4BFF - 
904B-2146128611EE/Documents root# mv dumpdecrypted.dylib 
/var/tmp/ 
FunMaker -5: 
/var/mobile/Containers/Data/Application/D41C4343 - 63AA - 4BFF - 
904B-2146128611EE/Documents root# cd /var/tmp 
FunMaker-5:/var/tmp root# 
DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib 
/private/var/mobile/Containers/Bundle/Application/03B61840- 
2349-4559-B28E-OE2C6541F879/TargetApp.app/TargetApp 
dyld: could not load inserted library 'dumpdecrypted.dylib' 
because no suitable image found. Did find: 
dumpdecrypted.dylib: stat() failed with errno=1 
Trace/BPT trap: 5 


这 里 ermo 的 值 是 1， 即 “Operation not 
permitted", MER e IATER 
dumpdecrypted 的 过 程 中 位 到 任何 问题 ， 或 对 它 有 
进一步 的 研究 ， 都 欢迎 来 http://bbs.iosre.com 参 与 


讨论 。 


4.5 OpenSSH 


OpenSSH 会 在 iOS 上 安装 SSH 服 务 (如 图 4-23 
所 示 ) ， 以 给 外 界 提供 一 个 通过 ssh 接 入 iOS 的 途 
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€ Installed Details Modify 


e OpenSSH 
6.1p1-11 2024 kB 


© Change Package Settings > 


> Author Jay Freeman (saurik) > 


B This is a console package! > 


Description 


secure remote access between 
machines 


OpenSSH Access How-To 


Security Warning 


If you install OpenSSH, you need to 
change your device's root password to 
prevent the possibility of unsavory 

5 © 


Installed 


图 4-23 OpenSSH 


这 里 用 得 最 多 的 一 般 只 有 2 个 命令 : ssh 和 


scp, Ha ATi, Jae Aint oc 


件 。ssh 的 用 法 如 下 : 
ssh user@i0SIP 
如 
snakeninnysiMac:- smakeninny$ ssh mobilaQi92.168.1.6 
scp 的 用 法 如 下 。 
1) 把 文件 从 本 地 拷贝 到 iOS 上 ， 命 令 如 下 : 


scp /path/to/localFile userQiOSIP:/path/to/remoteFile 


如 


snakeninnysiMac:- snakeninny$ scp -/1.png 
root@192.168.1.6:/var/tmp/ 


2) 把 文件 从 iOS 找 贝 到 本 地 ， 命 令 如 下 : 


scp userQiOSIP:/path/to/remoteFile /path/to/localFile 


如 


snakeninnysiMac:- snakeninny$ scp 
root@192.168.1.6:/var/log/syslog -/iO0Slog 


两 种 命令 的 用 法 都 比较 简单 直观 。 在 安装 
OpenSSH 后 需要 注意 修改 默认 登录 密码 "alpine"。 
iOS 上 的 用 户 有 2 个 ， 分 别 是 root 和 mobile， 修 改 密 
码 的 命令 如 下 : 


FunMaker-5:~ root# passwd root 
changing password for root. 

New password: 

Retype new password: 
FunMaker-5:~ root# passwd mobile 
Changing password for mobile. 
New password: 

Retype new password: 


如 果 没 有 修改 默认 密码 ，Ikee 等 病毒 束 有 可 
能 通过 ssh 以 root 用 户 身 份 登录 iOS， 拿 到 最 高 权 


限 。 这 个 后 果 是 非常 严重 的 : iO0S 中 的 所 有 数据 ， 
包括 短信 、 电 话 本 、AppleID 的 账号 密码 等 敏感 信 
奶 泄 露 的 风险 将 大 大 增加 ， 你 的 设备 可 能 会 被 入 
侵 者 玩弄 于 股 掌 之 间 ， 为 所 欲 为 。 因 此 ， 在 安装 
OpenSSH 之 后 一 定 要 记得 修改 上 默认 密码 ! 


4.6 usbmuxd 


很 多 朋友 是 通过 WiFi 连 接 使 用 SSH 服 务 的 ， 
因为 无 线 网 络 的 不 稳定 性 及 传输 速度 的 限制 ， 在 
复制 文件 或 用 LLDB 远 程 调试 时 ，iOS 的 响应 很 
慢 ， 效 率 不 局 。iOS 越 狱 社 区 的 知名 人 士 Nikias 
Bassen (@pimskeks) 开发 了 一 款 可 以 把 本 地 
OSX/Windows?m HF A Bll jc FEIOS Mig AY TA 
usbmuxd， 使 我 们 能 够 通过 USB 连 接线 ssh 到 iOS 
中 ， 大 大 增加 了 ssh 和 连接 的 速度 ， 也 方便 了 那些 没 
有 WiFi 的 朋友 。 它 的 用 法 如 下 ， 比 较 人 简单 。 


(1) 下 载 并 配置 usbmuxd 


从 


http://cgit.sukimashita.com/usbmuxd.git/snapshot/us 


bmuxd-1.0.8.targz 下 载 usbmuxd， 解 压 到 本 地 。 我 
们 用 到 的 只 有 python-client 目 录 下 的 tcprelay.py 和 
usbmux.py 两 个 文件 ， 把 它们 放 到 同一 个 目录 下 ， 
比如 ， 笔 者 的 十: 


/Users/snakeninny/Code/USBSSH/ 
(2) 使 用 usbmuxd 转 发 端口 


usbmuxd 的 用 法 比较 人 简单， 在 Terminal 中 输入 
如 下 命令 : 


/Users/snakeninny/Code/USBSSH/tcprelay.py -t 远程 10S 上 的 端口 : 
本 地 0SX/Windows 上 的 端口 


即 可 把 本 地 OSX/Windows 上 的 端口 转发 到 远 
程 :OS 上 的 端口 。 
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在 没有 WiFi 的 情况 下 ， 使 用 USB 连 接 到 iOS， 
用 lldb 调 斌 SpringBoard ° 


1) 把 本 地 2222 端 口 转发 到 iOS 的 22 端 口 ， 命 
令 如 下 : 


snakeninnysiMac:- snakeninny$ 
/Users/snakeninny/Code/USBSSH/tcprelay.py -t 22:2222 
Forwarding local port 2222 to remote port 22 


2) ssh 到 iOS 中 ， 并 用 debugserver 附 加 
SpringBoard， 命 令 如 下 : 


snakeninnysiMac:~ snakeninny$ ssh root@localhost -p 2222 
FunMaker-5:~ root# debugserver *:1234 -a "SpringBoard" 


3) 把 本 地 1234 端 口 转发 到 iOS 的 1234 端 口 ， 


snakeninnysiMac:- snakeninny$ 
/Users/snakeninny/Code/USBSSH/tcprelay.py -t 1234:1234 
Forwarding local port 1234 to remote port 1234 


4) 用 lldb 开 始 调试 ， 命 令 如 下 : 


snakeninnysiMac:- snakeninny$ 
/Applications/OldXcode.app/Contents/Developer/usr/bin/lldb 
(lldb) process connect connect://localhost:1234 


使 用 usbmuxd 能 极 大 提升 ssh 的 速度 ， 用 LLDB 
远程 连 氢 debugserver 的 时 间 被 缩短 至 15 秒 以 内 ， 
强烈 建议 大 家 把 usbmuxd 作 为 ssh 连 接 的 首选 方 


案 。 


4.7 iFile 


iFile 是 iOS 上 一 于 非常 强大 的 文件 管理 App， 
可 以 看 作 是 iOS 版 的 Finder， 如 图 4-24 所 示 。 它 能 
进行 各 种 文件 操作 ， 从 最 催 单 的 浏览 ， 到 编辑 、 
剪贴 、 复 制 ， 还 可 以 安装 deb 文 件 ， 十 分 方便 。 


iFile 的 界面 十 分 直观 ， 无 需 过 多 说 明 。 如 采 
要 安装 deb 文 件 ， 就 要 和 多头 掉 Cydia， 然 后 在 点 击 
deb 文 件 后 弹出 的 选项 中 选择 “Installer" 即 可 ， 如 
图 4-25 所 示 。 


seee0 HARE 3G = 10:41 


< Installed Details 


iFile 
2.2.0-1 


pe 


Change Package Settings 


4» Author Carsten Heinelt > | 


Installed Package 


E Version 2.2.0-1 | 


vy Filesystem Content > | 


eu. heinelt.ifile 
BigBoss : System 


x neo e 


Cydia Sources Changes Installed 


4-24 iFile 


ZIP Viewer 
Unarchiver 


Installer 


"Ey 
Be 到 
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图 4-25 ”安装 deb 文 件 


4.8 MTerminal 


MTerminal 是 开源 的 OS 版 Terminal， 基 本 功 
能 一 应 俱全 ， 如 图 4-26 所 示 。 其 用 法 与 Terminal 区 
别 不 大 ， 只 是 屏 右 和 键 副 小 了 点 。 笔 者 认为 
MTerminal 最 实用 的 场景 是 在 没有 电脑 的 环境 下 利 
用 雄 片 时 间 ， 结 合 Cycript 进 行 代码 测试 。 


eeeec HERM 3G + 10:41 


《 Installed Details 


MTerminal 
1.0-3 


-Change Package Settings > 


> Author lordscotland > 


Installed Package 


(=I Version 


X, Filesystem Content 


com.officialscheduler.mterminal 
BigBoss - Utilities 


图 4-26 MrTerminal 


4.9 syslogd to/var/log/syslog 


syslogd 是 iOS 中 记录 系统 日 志 的 守护 进 
程 , “syslogd to/var/log/syslog” 的 作用 是 把 日 志 给 
写 入 “/var/log/syslog” 文 件 中 ， 如 图 4-27 所 示 。 


eeeeo HARE 3G 10:41 @ 66% 


€ Installed Details Modify 


syslogd to /var/log/syslog 
= 1.1.0 


| © Change Package Settings > | 


| 49 Author Jay Freeman (saurik) > | 


This package makes it very easy to 
configure the syslogger on your 
phone: just install and you will start 
getting useful information logged to 
/var/log/syslog. If you don't know you 
need this you probably don't. 


Version 1.1 of this package is now also | 
compatible with iOS 8 (in addition to 
being compatible with all previous 


图 4-27 syslogd to/var/log/syslog 


在 安装 完 这 个 插件 后 要 重启 (reboot) 一 次 
iOS， 才 会 生成 “/var/log/syslog” 文 件 。 在 iOS 运 行 
的 全 过 程 中 这 个 文件 会 变 得 越 来 越 大 ， 可 以 通过 


FunMaker-5:- root# cat /dev/null > /var/log/syslog 
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本 章 重 点 介绍 了 9 个 工具 ， 其 中 
CydiaSubstrate ` LLDB、Cycript 古 核心 中 的 核 
心 。 正 十 由 于 这 些 iOS 工 具 的 存在 ， 配 合 OSX 工 具 
集 ， 才 构成 了 一 个 相对 完整 的 OS 逆向 工程 环 
境 。“ 既 要 知 其 然 ， 还 要 知 其 所 以 然 "” 要 对 工具 
有 所 了 解 ， 从 下 一 章 开 始 ， 我 们 殉 该 进一步 学 习 
E 76 


‘5 Objective-CTH2X HJiOS 32 [n] Bl TO; Zi fti 
-第 6 章 “ARM 汇 编 相 关 的 iDOS 逆 回 理 论 基础 


当 你 从 第 一 部 分 了 解 了 iOS 应 用 逆向 工程 的 基 
本 概念 ， 并 跟着 第 二 部 分 把 玩 过 一 些 复 回 工 具 之 
后 ， 就 已 经 具备 了 iOS 应 用 敢 同 工程 的 基本 知识 。 
当 你 完成 了 书 上 的 例子 之 后 ， 接 下 来 可 能 会 有 一 
种 无 从 下 手 的 感觉 ， 不 知道 下 一 步 该 做 些 什 么 。 
逆 癌 工程 是 一 门 需要 动手 的 学 问 ， 而 从 哪里 动 
手 、 该 怎么 动手 ， 其 实 是 有 套路 可 循 的 。 人 第 5 草 和 
第 6 章 分 别 党 试 从 Objective-C 和 ARM 的 角度 出 
发 ， 用 iOS 应 用 逆向 工程 独 有 的 理论 知识 把 介绍 过 
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法 论 。 这 束 开 始 吧 | 


第 5 革  Objective-CTH2X BJiOS2: [n] HE TO Ie 
fiti 


Objective-C 语 言 是 一 门面 回 对 象 的 高 级 语 
言 ， 想 必 大 家 都 能 较为 熟练 地 掌握 它 的 基本 用 
1A, TEXTS] LEAT IER H Objective-C S 
有 助 于 大 家 更 平稳 地 从 App 开 发 进 阶 到 逆向 工 
程 。 笃 运 地 是 ，iOS 采 用 的 文件 格式 Mach-O 中 包 
含 了 足够 多 的 原始 数据 ， 让 我 们 能 够 用 class-dump 
等 工具 还 原 出 二 进 制 文件 的 头 文件 :有 了 这 些 信 
已， 就 可 以 开始 Objective-C 级 别 的 揽 回 工程 了 ， 
而 搂 写 tweak 无 颖 是 这 个 阶段 最 受 欢 迎 的 项 目 ， 下 


面 束 从 它 开始 吧 | 


5.1 tweak 在 Objective-C 中 的 工作 方式 


在 第 3 章 中 介绍 Theos 时 ， 已 经 介绍 了 tweak 的 
概念 。 依 据 维基 百科 的 定义 ，tweak 指 的 是 对 电子 
系统 进行 轻微 调整 来 增强 其 功能 的 工具 ;在 iOS 
中 ，tweak 特 指 那些 能 够 增强 其 他 进程 功能 的 
dylib， 是 越狱 iDOS 的 最 重要 组 成 部 分 。 


下 是 因为 tweak 的 存 人 在， 越狱 iOS 用 户 才 能 依 
照 自己 的 喜好 打造 独一无二 的 个 性 化 系统 ，iOS 开 
KT ADL YATE FS EE EWE Taste 
加 瓦 ， 丰 富 它 们 的 功能 ， 而 这 些 便 利 都 是 原版 iOS 
和 AppStore 无 法 提供 的 。Cydia 中 最 受 欢 迎 的 软件 
几乎 全 是 创意 各 异 的 tweak (图 5-1 是 Cydia 中 的 


tweak 图 标 ) ， 如 Activator、Barrel ^ 


SwipeSelection 等 。 一 般 来 说 ， 一 个 tweak 的 核心 
是 各 种 “hook”， 而 绝 大 部 分 的 hook 是 针对 
Objective-C 方 法 的 ， 那 么 tweak 征 如 何 工作 的 呢 ? 


iOSREMadridMessenger 


from Unknown / Local (Tweaks) 
Detect and send iMessage example 


图 5-1 ”tweak 图 标 


Objective-C 是 典型 的 面向 对 和 象 语言 。iOS 是 由 
一 个 个 小 的 组 件 构 成 的 ， 这 些 组 件 其 实 束 是 一 个 
个 对 象 。 举 个 例子 ，iOS 里 的 每 个 图 标 、 每 条 信息 
和 每 张 照 请 都 是 对 象 ， 除 了 这 些 用 户 能 够 看 到 的 
对 象 以 外 ， 还 有 很 多 对 象 一 直 在 后 台 工 作 ， 为 前 
台 对 和 象 提供 各 种 文 行 。 例 如 有 些 对 象 负责 与 乎 采 
的 服务 璐 通信 ， 有 的 对 象 负 责 读 写 文件 。 一 个 对 


RA LAA TR, PIAA BA 
标 金 对象， 用 来 显示 这 个 图 标 代表 的 App 名 称 。 
一 般 来 说 ， 每 个 对 象 都 有 目 己 存在 的 意义 ， 工 程 
师 通 过 对 不 同 对 象 的 组 合 排序 ， 实 现 不 同 的 功 
能 ;在 Objective-C 里 ， 我 们 称 对 象 的 功能 为 “ 方 
ik", “方法 ”的 具体 行为 则 称 为 “实现 ”。 对象 、 方 
法 和 实现 的 关系， 就 是 tweak 大 做 文章 的 地 方 。 


对 象 具备 了 某 种 功能 ， 代 码 束 可 以 发 出 指 
令 “[object method]j”， 让 一 个 对 象 去 执行 它 的 功 
能 ， 也 驶 是 “调用 对 象 的 方法 ”。 看 到 这 里 ， 可 能 
有 朋友 会 说， 指令 里 的 “对 象 ? 和 “方法 ”都 是 名 
词 ， 而 执行 一 个 功能 需要 的 不 应 该 是 一 个 动词 
IS? 说 得 没 错 ， 我 们 还 缺少 一 个 动词 ， 需 要 去 “ 实 
现 ” 这 个 方法 。 需 要 的 动词 已 经 出 现 了 一 一 “ 实 


现 ”， 它 指 的 是 当 某 个 方法 得 到 调用 时 ，iOS 实 际 
TIEA, BEP TITAS ° TE 
Objective-C 里 ， 方 法 和 实现 的 关系 不 是 在 编译 时 
决定 的 ， 而 是 在 运行 时 决定 的 。 


在 实际 使 用 中 , “[object method]j” 中 的 method 
不 一 定 是 一 个 名 词 ， 它 也 可 能 是 一 个 动词 。 但 仅 
4 fal kd [object method]， 还 是 不 知道 要 怎么 实现 
这 个 方法 ， 比 如 : “妈妈 ， 接 一 下 电话 ”， 翻 译 成 
Objective-C 语 言 古 “[ 妈 妈 接 电话 ]”*”， 这 里 的 对 象 是 
妈妈 ， 方 法 是 “ 接 电 话 ”， 实 现 是 “放下 手 里 的 炒 采 
仿 子 ， 把 炉 火 天 小 一 点 ， 然 后 走 到 客厅 去 接 电 
话 ”; “snakeninny， 过 来 扳 个 东西 "， 翻 详 成 
Objective-C 语 言 是 “*[snakeninny 搬 东西 ]”， 这 里 的 
对 象 是 snakeninny， 方 法 是 “ 搬 东 西 >， 实 现 是 “ 俘 


下 手 里 的 工作 ， 从 木子 上 起 来 ， 走 到 老板 的 办 公 
至 里 把 一 个 箱子 把 到 楼 P" * EAP MiP AUR: 
没有 “实现 ”的 具体 手 述 ， 即 使 调用 了 “方法 ”，“ 对 
RAAT RAT hit o “SEB se TA BRE 
X, WB EWE, “实现 " 是 词语 的 意义 一 一 这 


AN ili Te] BRAS? 


随 看 时 代 的 进步 ， 词 典 的 内 容 产生 了 变化 ， 
一 些 旧 词语 被 赋予 了 狐 解 释 , “EZ RRA a 
没有 太 大 关系 ,，“ 汾 丝 ” 也 从 一 种 食物 变 成 了 一 类 
人 。 这 些 现象 在 iOS 中 也 有 体现 ， 我 们 可 以 通过 改 
变 “ 实 现 " 和 “方法 ”的 对 应 关系 ， 赋 予 一 个 方法 新 
的 蕊 义 ， 从 而 达到 更 改 对 象 功能 的 目的 ， 只 要 别 
人 在 查询 一 个 词语 意义 的 时 候 参 考 了 你 修改 过 的 
词典 ， 那 么 他 的 方法 束 有 了 新 的 实现 ， 例 如 ， 笔 


者 开发 的 LowPowerBanner (如 图 5-2 所 示 ) 会 在 
低 电 量 时 以 横幅 代替 弹 窗 ， 提 醒 用 户 没 电 了 一 一 
哈哈 ， 那 正 是 因为 笔者 更 改 了 低 电 量 提醒 的 实 
现 ， 善 音 地 欺骗 系 统 “ 弹 窗 ” 的 意思 是 “横幅 ”。 


笔者 的 另 一 个 短信 防火 墙 SMSNinja (如 图 5-3 
所 示 ) 能 在 收 到 垃圾 短信 时 将 其 自动 放 进 垃 圾 
箱 ， 这 是 通过 更 改 iOS 收 到 短信 的 动作 实现 的 ， 在 
原 有 基础 上 增加 了 检测 垃圾 短信 的 功能 。 这 种 “更 
改 词典 内 容 *” 的 方式 束 是 通过 CydiaSubstrate 进 行 
hook 控 作 来 实现 的 。CydiaSubstrate 的 用 法 已 经 在 
前 两 划 详 细 介 绍 过 了 了， 想必 大 家 都 还 记得 。 


图 5-2 LowPowerBanner 
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GENERAL 


Password 
Launch Code 
Hide Icon 

Icon Badge 
Statusbar Badge 


Contacts «€ Whitelist 


CALL 


Whitelist calls only w/ beep 
Whitelist calls only w/o beep 


Whitelist msgs only w/ beep 


图 5-3 SMSNinja 


5.2. tweak 的 编写 套路 


只 有 理解 了 tweak 的 工作 方式 ， 才 能 在 编写 
tweak 时 清楚 地 知道 自己 想 干 什么 、 在 干什么 。 一 
般 来 说 ， 编 写 tweak 会 用 到 C、C++ 和 Objective-C 
三 种 语言 ， 有 了 一 个 灵感 时 ， 该 如 何 自如 地 运用 
这 三 种 语言 把 灵感 变 成 一 个 好 用 的 tweak 呢 ? 事实 
上 ， 编 写 tweak 的 思路 是 有 规律 可 循 的 ， 而 且 随 看 
你 对 ioOS 的 了 解 愈加 深入 ， 对 编程 语言 的 掌握 愈加 
询 练 ， 这 种 规律 会 变 得 越 来 越 明 显 。 下 面 将 围绕 
一 个 简单 的 tweak 例 子 ， 从 iOS 工 程 师 使 用 最 多 的 
Objective-C 语 言 开 始 分 机 ， 总 结 归 纳 Objective-C 
级 别 的 逆向 工程 理论 。 


5.2.1 ”寻找 灵感 


可 能 有 部 分 ijOS 工 程 师 读 到 这 里 时 ， 已 经 能 够 
结合 前 儿 章 的 知识 开始 开发 tveak 了 ， 但 可 能 
有 部 分 人 感到 无 从 下 手 ， 不 知道 该 写 些 什 么 东 
西 。 这 种 有 劲 儿 没 处 使 的 感觉 确实 挺 难受 ， 面 对 
这 种 情况 ， 该 怎么 办 呢 ? 一 般 情 况 下 ， 可 以 从 这 
几 个 方面 找 灵感 。 


没事 吏 把 你 的 手机 拿 出 来 把 玩 把 玩 ， 把 系统 
的 每 个 角落 都 扫 一 再， 别论 顾 看 刷 朋 到 图。 虽然 
iOS 的 功能 已 足够 多 ， 但 也 不 可 能 符合 每 个 用 户 的 
了 要求 ， 所 以 ， 用 得 越 多 ， 你 对 ioS 的 了 解 殉 越 多 ， 
哪些 地 方 用 看 不 严 的 感 沉 束 会 更 强烈 。 上 网 看 看 
吧 ，i9S 的 用 户 基数 巨大 ， 他 们 中 一 定 有 跟 你 想法 
AT, ix 


不 就 是 灵感 吗 ? 笔者 在 iOS 6 时 代 开 发 的 
Characount for Notes (如 图 5-4 所 示 ) 就 是 这 样 得 
来 的 。 当 时 ， 笔 者 经 常 把 微 博 的 内 容 存 成 记事 
本 ， 但 微 博 是 有 140 字 限制 的 ， 于 是 束 做 了 一 个 这 
样 的 tweak， 用 来 统计 记事 本 每 页 的 字数 ， 从 而 控 
制 微 博 的 长 度 。 曾 有 一 位 阿拉 伯 用 户 还 专门 给 笔 
者 发 邮件 说 很 喜欢 这 个 插件 ， 希 望 加 入 更 多 功能 
把 记事 本 改造 成 一 个 word， 但 笔者 对 这 个 想法 不 
大 感 兴 趣 ， 所 以 只 好 对 他 说 声 抱 歉 了 。 


au. 中 国联 通 > 22:41 41% [ab 
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 bbs.iosre.com welcomes you! 
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Kl5-A  Characount for Notes 
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每 个 人 使 用 ioS 的 方式 不 同 ， 他 们 的 需求 各 
异 。 如 果 你 目 己 没有 太 多 灵感 ， 那 惑 多 听 听 果 粉 
们 的 需求 ， 只 要 有 需求 ，tweak 束 有 用 户 。 大 的 项 
目 已 经 有 人 做 了 ， 我 们 就 针对 少数 人 群 定制 
tweak; 水 平 不 足 做 不 了 底层 的 复杂 功能 ， 就 从 高 
层 的 简单 功能 做 起 ;每 一 版 发 布 后 ， 虚 心 听取 用 
户 的 意见 和 建议 ， 及 时 改进 ， 快 速 迭代 ， 你 的 付 
出 不 会 没有 回报 。LowPowerBanner 这 个 iOS 6 插 
件 就 是 笔者 听取 用 户 PrimeCode 的 建议 编写 的 ， 完 
成 第 1 版 仅 用 了 约 5 小 时 ， 写 代码 不 到 50 行 ， 但 发 
布 后 8 小 时 下 载 量 即 突破 3 万 次 (如 图 5-5 所 示 ) ， 
受 欢迎 程度 大 大 超出 笔者 的 预期 。 同 志 们 ， 群 众 
的 眼睛 是 雪亮 的 ， 群 众 的 智慧 也 是 无 穷 的 ， 如 果 
你 没有 什么 灵感 ， 束 走 到 群众 中 去 吧 | 


Downloads for snakeninny 


App [Total Count Installer[ Cydia 
s MSNinja (v1.2) [i 2934 z [2 2934 | 
[LowPowerBanner ( (v0.0.1-42) IE 5493 EN IE 5493 | 


AI5-5 LowPowerBannerH ss — hy TRE 
3 fios 


当 你 的 能 力 越 大 时 ， 能 做 的 事情 也 就 越 多 。 
千里 之 行 始 于 足下 ， 从 小 程序 做 起 ， 经 过 层 层 磨 
炼 ， 你 对 iOS 的 理解 会 不 断 加 深 ;iOS 是 个 封闭 的 
系统 ， 给 我 们 的 只 是 冰山 一 角 ， 有 太 多 太 
多 的 功能 还 有 行 我 们 进一步 挖掘 。 每 次 越狱 发 布 
后 ， 都 会 有 人 把 最 新 的 头 文件 发 布 出 来 ，Google 
一 下 “iOS private headers” 即 可 轻松 找到 下 载 链 
搁 ， 省 去 了 目 己 class-dump 的 麻烦 。Objective-C 语 


SVEN aap 45 RAE, CX IE ANE BUR H] DER A4 E 
, llSpringBoard.h E RS, a Ray: 


- (void)reboot; 
- (void)relaunchSpringBoard; 


TIUIViewController.h H BS, U0 P ERAN: 


- (void)attentionClassDumpUser:(id)argi 
yesItsUsAgain:(id)arg2 
althoughSwizzlingAndOverridingPrivateMethodsIsFun:(id)arg3 
itWwasntMuchFunwhenYourAppStoppedWorking:(id)arg4 
pleaseRefrainFromDoingSoInTheFutureOkayThanksBye: (id)arg5; 


通 宽 这 些 画 数 名 ， 是 灵感 的 重要 来 源 之 一 
也 是 了 解 iOS 压 层 的 便捷 渠道 。 掌 握 越 多 的 iOS 实 
现 细 广 ， 意 味 厦 手 里 握 有 的 零件 或 越 多 ， 因 此 你 
整 能 组 装 出 与 别人 不 同 的 设备 。limneos 开 发 
的 “Audio Recorder” 就 是 最 好 的 例子 ，iOS 早 在 
2007 年 束 面 世 了 ， 但 通话 孙 音 的 功能 直到 7 年 后 才 


由 这 位 希腊 开发 者 实现 。 有 这 个 想法 的 人 很 多 很 
多 ， 已 经 动手 的 人 也 肯定 不 在 少数 ， 但 为 什么 只 
有 limneos 成 功 了 ? 因为 他 对 iOS 的 解剖 比 别 人 更 
彻底 ! 说 起 来 很 简单 ， 做 起 来 不 简单 。 


5.2.2 ”定位 目标 文件 


知道 目 己 想 要 实现 什么 功能 后 ， 束 要 开始 寻 
找 实现 这 个 功能 的 二 进 制 文件 ， 方 法 一 般 有 以 下 
儿 种 。 


1. 固 定位 置 


现 阶 段 我 们 的 逆 同 目标 一 般 是 dylib、bundle 
或 daemon， 它 们 在 系统 中 的 位 置 几 乎 是 国定 的 : 


基于 CydiaSubstrate 的 dylib 全 部 位 
F“/Library/MobileSubstrate/DynamicLibraries/” 下 
， 儿 乎 不 费 歇 区 之 力 束 可 以 轻松 定位 。 


:bundle 主 要 分 为 App 和 framework 两 类 ， 其 中 
AppStore App 全 部 位 
T "/var/mobile/Containers/Bundle/A pplication/" F , 
系统 App 全 部 位 于 “/Applications/” 下 ，framework 
全 部 位 
T "/System/Library/Frameworks"EX/^/S ystem/Librar 
y/PrivateFrameworks” 下 。 关 于 其 他 类 型 App 的 定 
位 ， 可 以 来 http:Wbbs.iosre.com 一 起 讨论 。 


daemon 的 配置 文件 均 位 
T */System/Library/LaunchDaemons/" ` */Library/L 


aunch-Daemons” #\“/Library/LaunchAgents/” F, 7 


一 个 plist 格 式 的 文件 。 其 中 
的 “ProgramArguments” 字 段 ， 即 是 daemon 可 执行 
文件 的 绝对 路 径 ， 如 下 : 


snakeninnys-MacBook:- Snakeninny$ plutil -p 
/Users/snakeninny/Desktop/com.apple.backboardd.plist 


"ProgramArguments" -» [ 
0 => "/usr/libexec/backboardd" 


2.Cydia 定 位 


通过 “dpkg- 记 命令 安装 的 deb 包 ， 其 内 容 会 被 
Cydia kid, GAA, ECydia 
的 “Installed” 项 中 选择 "Expert”， 如 图 5-6 所 示 。 


然后 选择 日 标 软件 ， 进 入 “Details” 界 面 ， 如 
图 5-7 所 示 。 
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“eae Recent 


Activator 
from BigBoss (System) 
Centralized gestures, button and shortc... 


adv-cmds 
from Cydia/Telesphoreo (Administration) 


finger, fingerd, last, Isvfs, md, ps 


Apple File Conduit "2" 
from Cydia/Telesphoreo (System) 


allow full file-system access over USB 


APR (/usr/lib) 
from Cydia/Telesphoreo (Development) 
just the /usr/lib folder from APR 


Ca APT 0.7 (apt-key) 


from Cydia/Telesphoreo (Packaging) 
repository encryption key management t... 


A 
B 
C 
D 
E 
F 
G 
H 
I 
J 
K 
L 
M 
N 
o 
P 
Q 
R 
S 
T 
U 
V 
Ww 
X 
Y 
r4 
E 


APT 0.7 Strict (lib) 
from Cydia/Telesphoreo (Packaging) 


the advanced packaging library from De... 


geo e 
cOUurces C 


hanges Installed 


图 5-6 CydiafJExpert Ifi 
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€ Installed Details 


Activator 
1.9.1 4060 kB 


—.. Change Package Settings > 


» Author Ryan Petrich > 


Installed Package 
E Version 


=~ Filesystem Content 


libactivator 
BigBoss : System 


Installed 


图 5-7 Details 界面 


之 后 选择 “Filesystem Content”, Bayi vi £x 
件 包 里 的 所 有 文件 ， 如 图 5-8 所 示 。 


deb 包 中 的 每 个 文件 被 放 在 了 iOS 的 哪个 路 径 
Fo 


3.PreferenceBundle 


PreferenceBundle 是 寄生 在 Settings 应 用 里 的 
App, EMEA A ER, Boal DEK Hah 
的 配置 文件 ， 由 别 的 进程 恋 取 后 执行 ， 如 图 5-9 所 
示 的 “DimInCall” 界 面 。 


也 可 以 含有 实际 功能 ， 目 己 来 执行 一 些 操 
作 ， 如 图 5-10 所 示 的 “WwWLAN” 春 面 。 


我 们 关注 的 重点 是 应 用 的 实际 功能 ， 因 此 如 
何 定 位 PreferenceBundle 执 行 实际 功能 的 二 进 制 文 
F, Wise he 2A Re Z — © XH AppStoreH) 
第 三 方 PreferenceBundle 仅 可 作为 配置 文件 存在 ， 


不 会 含有 实际 功能 ， 来 自 Cydia 的 也 不 是 问题 ， 刚 


才 介 绍 的 Cydia 定 位 方式 已 经 


完全 够 用 了 ; 但 对 于 


iOS 目 这 的 PreferenceBundle 来 说 ， 定 位 的 过 程 吏 


要 FREE o 
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Applications 
Activator.app 
Activator 


Darkicon-small@2x.png 


Default-568h@2x~iphone.png 


Default-Landscape.png 
Default-Portrait.png 


Default.png 


Default@2x~iphone.png 
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Icon-152.png 
Icon-76.png 


Icon-Small-modern.png 


Icon-Small-modern@2x.png 


Icon-Small.png 

Icon-Small@2x.png 
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Installed 
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€ DiminCall Microphone 


ACTIONS WHEN CONNECTED 


dim 


€» 
vibrate « ) 


SCREEN LIGHT SWITCH DURING A CALL 


proximity sensor €) 


home button 
lock button 


volume buttons 


Toggling on will replace the corresponding 
object's original function with screen light 
switch 


图 5-9 ”DimInCall 界 面 
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€ Settings WLAN 


WLAN 


CHOOSE A NETWORK... = 


Other... 


Ask to Join Networks 


Known networks will be joined automatically. If 
no known networks are available, you will have 


to manually select a network. 


图 5-10 ”WLAN 界面 


PreferenceBundle 的 界面 可 以 用 代码 编写 ， 也 
可 以 用 具有 固定 格式 的 plist 文 件 构造 (格式 请 参 


考 
http://iphonedevwiki.net/index.php/Preferences speci 
fier plist) 。 在 逆向 此 类 程序 时 ， 如 果 发 现 界面 
中 的 控件 类 型 全 部 来 自 preference specifier plist 罗 
列 的 标准 控件 类 型 ， 如 “About” 界 面 (如 图 5-11 所 
ZR) ， 则 需 注 意 分 辨 此 界面 是 用 代码 编写 的 ， 

是 用 plist 构 造 的 。 对 于 iOS 自 带 的 PreferenceBundle 
来 说 ， 如 果 是 用 代码 编写 的 ， 一般 情况 下 实际 功 
能 束 已 经 包公 在 二 进 制 文件 里 了 ， 它 们 位 

于 “/SystenyLibrary/PreferenceBundles/” 下 ; 如果 是 
用 plist 构 造 的 ， 吏 需要 分 析 plist 和 实际 功能 间 的 天 
系 ， 从 中 找到 切入 点 ， 定 位 含有 实际 功能 的 二 
制 文 件 。 总 之 ，PreferenceBundle 的 情况 相对 复 
杂 ， 并 不 适合 作为 新 手 练习 。 如 果 对 上 面 的 内 容 
一 知 半 解 ， 不 要 紧 ， 稍 后 本 草 会 以 一 个 实例 来 提 


供 参 考 。 更 多 天 于 PreferenceBundle 的 讨论 ， 尽 在 


http://bbs.iosre.com ° 
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€ General About 


Network 
Songs 
Videos 
Photos 
Applications 
Capacity 
Available 
Version 


Carrier 
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4.grep 命 令 


grep 是 一 个 来 目 UNIX 系 统 的 命令 行 工 具 ， 能 
够 搜索 文件 中 是 否 含有 给 定 的 正则 表达 式 。OSX 
目 市 grep 命 令 ，iOS 上 的 grep 命 令 则 和 是 由 Saurik 移 
植 过 来 的 ， 随 看 Cydia 默 认 安 锋 。 在 寻找 一 个 字符 
FRA HABI, grepHE We Dos s^] ETRE ES. e fil 
如 ， 想 知道 都 有 哪些 地 方 调用 了 [IMDAccount 
initWithAccountID:de faults:service:], n] 以 ssh 到 | 
iOS 后 使 用 grep 命 令 查 看 一 下 ， 如 下 : 


FunMaker-5:- root# grep -r 
initwithAccountID:defaults:service: /System/Library/ 

Binary file 
/System/Library/Caches/com.apple.dyld/dyld shared cache armv 
7s matches 

grep: /System/Library/Caches/com.apple.dyld/enable-dylibs- 
to-override-cache: No such file or directory 

grep: 
/System/Library/Frameworks/CoreGraphics.framework/Resources/ 
libCGCorePDF.dylib: No such file or directory 

grep: 
/System/Library/Frameworks/CoreGraphics.framework/Resources/ 
libCMSBuiltin.dylib: No such file or directory 


grep: 


/System/Library/Frameworks/CoreGraphics.framework/Resources/ 
libCMaps.dylib: No such file or directory 

grep: /System/Library/Frameworks/System.framework/System: No 
such file or directory 


从 运行 结 末 得 知 ， 要 得 找 的 函 效 在 
dyld_shared_cache_armv7s 中 出 现 了 。 再 次 对 
decache 过 的 dyld_shared_cache_armv7s 使 用 grep 命 

如 下 : 


snakeninnysiMac:~ snakeninny$ grep -r 
initwithAccountID:defaults:service: 
/Users/snakeninny/Code/iOSSystemBinaries/8.1 iPhone5 

Binary file 
/Users/snakeninny/Code/iOSSystemBinaries/8.1 iPhone5/dyld sh 
ared cache armv7s matches 

grep: 

/Users/snakeninny/Code/iOSSystemBinaries/8.1 iPhone5/System/ 
Library/Caches/com.apple.xpc/sdk.dylib: Too many levels of 
symbolic links 

grep: 

/Users/snakeninny/Code/iOSSystemBinaries/8.1 iPhoneb5/System/ 
Library/Frameworks/OpenGLES.framework/libLLVMContainer.dylib 
: Too many levels of symbolic links 

Binary file 

/Users/snakeninny/Code/iOSSystemBinaries/8.1 iPhoneb5/System/ 
Library/PrivateFrameworks/IMDaemonCore.framework/IMDaemonCor 
e matches 


可 以 看 到 ，[IMDAccount 
initWithAccountID:defaults:service:] 出 现在 了 
IMDaemonCore 中 ， 可 以 就 从 它 看 手 开 始 分 析 。 


5.2.3 定位 目标 函数 


在 找到 含有 目标 功能 的 二 进 制 文 件 之 后 ， 可 
以 通过 class-dump 导 出 头 文件 ， 在 里 面 寻找 目 己 感 
兴趣 的 函数 。 具 体 做 法 比较 人 简 早 ， 可 分 为 以 下 两 
种 。 


1.0SX 目 市 的 搜索 功能 


个 得 不 承认 ，OSX 目 市 的 搜索 功能 在 笔者 用 
过 的 操作 系统 中 是 最 强大 的 ， 强 大 到 有 既 能 搜索 文 
件 名 ， 义 能 搜索 文件 内 容 ， 而 且 不 论 是 搜 目 条 还 
EREA, WRAP ER o AA (ALE, 


可 以 在 大 量 文件 中 快速 定位 目标 文件 ， 例 如 ， 对 
iPhone 自 带 的 距离 感应 器 (Proximity Sensor) 很 
感 兴 趣 ， 想 看 看 相关 的 函数 可 能 会 提供 哪些 功 
能 ， 可 以 在 Finder 中 打开 体 存 所 有 class-dump 头 文 
件 的 文件 夹 ， 然 后 在 右上 和 角 的 搜索 栏 中 输入 
proximity (大 小 写 不 敏感 ) ， 如 图 5-12 所 示 。 


默认 情况 下 Finder 会 把 本 机 所 有 内 容 中 含有 
proximity 关 键 词 的 文本 文件 罗列 出 来 ， 如 图 5-13 
所 示 。 


tn ARRE, FEHR Pe 
归 搜 索 文 件 名 。 剩 下 的 工作 就 是 找 出 你 感 兴趣 的 
MF, E aT TIE 


.Ice File 


..,GOUrce 
.ce File 
„fce File 
...IC8 File 


Date Last Opened 

Nov 26, 2013, 4:03 PM 
May 26, 2013, 1:19 AM 
Oct 27, 2014, 8:29 AM 
Sep 30, 2013, 8:28 AM 
Sep 30, 2013, 8:28 AM 
Apr 17, 2012, 2:48 PM 
May 15, 2012, 3:52 PM 
Jun 27, 2014, 4:48 PM 


图 5-12 ”在 搜索 栏 输入 关键 词 


Search: “8.1” 


Name 


"L 


. EKAlarmEngine.h 
_EKAlarmEngine.h 


| EKAlarmEngine.h 


ActionRecognition.h 


] ActionRecognitionDelegate.h 


AddressBookController.h 


' AddressBookController.h 


ATSDragToReorderTableViewController.h 


' AUAudioDevice.h 


AXEventPathinfoRepresentation.h 


' AXEventPathinfoRepresentation.h 


BackBoardServices-Symbols.h 
BaseAudioPlayer.h 
BKAccessibility.h 


| BKProximityDetectionClient.h 


BKProximitySensorinterface.h 


. CallViewController iPhone.h 


Al5-13 ”搜索 结果 


是 的 ， 你 没 看 错 ， 强 大 的 grep 再 一 次 出 现 
了 。 既 然 grep 能 搜索 出 二 进 制 文件 里 的 字符 串 ， 
对 付 文 本 文件 就 更 不 在 话 下 了 “。 对 于 刚才 的 例 
子 ， 使 用 grep 来 试 试 ， 如 下 : 


snakeninnysiMac:~ snakeninny$ grep -r -i proximity 
/Users/snakeninny/Code/iOSPrivateHeaders/8.1 
/Users/snakeninny/Code/iOSPrivateHeaders/8.1/Frameworks/Core 
Location/CDStructures.h: char proximityUUID[512]; 
/Users/snakeninny/Code/iOSPrivateHeaders/8.1/Frameworks/Core 
Location/CLBeacon.h: NSUUID * proximityUUID; 
/Users/snakeninny/Code/iOSPrivateHeaders/8.1/SpringBoard/Spr 
ingBoard.h:- ( Bool)proximityEventsEnabled; 
/Users/snakeninny/Code/iOSPrivateHeaders/8.1/SpringBoard/Spr 
ingBoard.h:- (void) proximityChanged:(id)argi; 


虽然 grep 显 示 出 的 结果 大 而 全 ， 但 看 起 来 有 
些 乱 。 推 荐 使 用 Finder 的 搜索 功能 ， 毕 竞 在 便捷 
程度 相差 无 儿 的 情况 下 ， 图 形 界 面 比 命令 行 界 面 
用 起 来 更 方便 。 


5.2.4 测试 函数 功能 


FETA] CREA, REOBRE NER 2X 
BEMA, WA CA RBS, Ue UE 
Af, BIKA Ree A EURBJIE, (E4 n] few HRA 
做 的 东西 别人 已 经 做 过 了 ;如 采 搜 索 不 到 ， 那 么 
恭喜 ， 你 可 能 发 现 了 一 抉 新 大 陆 ， 但 是， 函数 的 
用 法 和 功能 需要 你 目 己 测试 。 


Objective-C EX 2 EJ 7] BEM AUREOS] T^ C/C2--- ER 
数 来 说 要 简单 得 多 ， 有 CydiaSubstrate 和 Cycript 网 
种 方法 可 供 选 择 。 


1.CydiaSubstrate 


在 测试 函数 功能 时 ， 主 要 利用 CydiaSubstrate 
HEME (hook) 住 一 个 函数 ， 从 而 判断 这 个 函数 
的 调用 时 机 。 假 设 怀 疑 SBScreenShotter.h 中 的 


saveScreenshot: ÆR BER] 2) T Va, sn] DASS 
以 下 代码 来 验证 : 


%hook SBScreenShotter 
- (void)saveScreenshot: (BOOL)screenshot 


?60rig; 
NSLog(Q"iOSRE: saveScreenshot: is called"); 


%end 


—— M 并 用 
Theos 制 作成 deb， 安 闭 在 i0S 中 ， 然 后 注销 
(respring) 一 次 。 如 果 感 觉 有 些 生 玻 ， 不 要 着 
w, REET, MRR, EKTA o SEDE 
完全 出 现 后 ， 同 时 按 下 home 键 和 lock 键 截屏 ， 然 
Jassh2iOS# syslog, 4 F: 


FunMaker-5:~ root# grep iOSRE: /var/log/syslog 
Nov 24 16:22:06 FunMaker-5 SpringBoard[2765]: iOSRE: 
saveScreenshot: is called 


可 以 看 到 ，syslog 中 出 现 了 我 们 的 目 定义 信 
居 ， 说 明 在 截屏 时 ，saveScreenshot: 得 到了 调用 。 
IERT, VRE SER I AT: EEN 
含义 太 明 显 了 ， 调 用 这 个 男 数 ， 是 不 是 真 束 能 实 
DAN BEATA RENE? 


在 i0S 的 世界 中 ， 好 奇 不 会 害 死 独 ， 吏 介 你 失 
去 好 哥 心 。 要 满足 好 琳 心 ， 束 用 Cycript! 


2.Cycript 


在 知道 Cycript 之 前 ， 笔 者 测试 函数 功能 的 工 
具 是 Theos。 比 如 ， 针 对 上 面 的 例子 ， 笔 者 会 编写 
下 面 这 样 一 个 tweak 。 


%hook SpringBoard 
- (void) menuButtonDown: (id)down 


%orig; 
SBScreenShotter *shotter = [%c(SBScreenShotter) 
sharedInstance]; 


[shotter saveScreenshot:YES]; // 这 里 参数 传 YES 是 我 猜 的 ， 等 会 
我 们 试验 一 下 传 NO 是 什么 效果 
} 


%end 


在 tweak 生 效 后 ， 按 下 home 键 ， 葡 会 调用 
saveScreenshot: KH, ASUS PRR Re At 
一 内 ， 相 册 里 是 不 是 多 了 一 张 截屏 。 再 进入 Cydia 
把 tweak 删 掉 ， 把 home 键 的 单纯 还 给 它 .………. 


其 实 如 采 没 有 对 比 ， 这 种 方法 看 起 来 还 算 简 
单 ， 但 是 当 笔 者 用 Cycript 达 到 了 相同 目的 时 ， 才 
AUG peo ACH, DARI BT Hee? Wy m 


As | 
Hp 

Cycript 的 用 法 前 面 已 经 BET. An 
cust yin 的 类 ， 所 以 这 里 
将 Cycript 主 入 SpringBoard 进 程 ， 然 后 直接 调用 行 


测试 函数 观察 实际 效 朱 即 可 ， 你 个 纺 详 过 程 对 我 


们 十 透明 的 ， 测 弃 后 无 须 任 何 清理 工作 ， 人 简直 会 
让 人 和 不 住 咋 唱 :“ 测 一 个 商 单 画 数 ， 让 我 的 心情 
RR, RUA AIA, ， 难 免 会 全 到 波折 。” 


ssh 到 iOS 后 输入 如 下 命令 : 


FunMaker-5:- root# cycript -p SpringBoard 
cy# [[SBScreenShotter sharedInstance] saveScreenshot: YES] 


(RHI BRE Teeth BIE, SERHEEP PS, 
截屏 一 张 ， 与 同时 按 下 2 个 键 截屏 的 效果 如 出 一 
HL? 好 了 ， 现 在 可 以 确认 这 个 函数 能 完成 截屏 操 
作 了 。 为 了 进一步 满足 好 奇 心 和 求知 欲 ， 在 
Cycript 提 未 从 下 按 “1” 键 ， 重 复 上 一 次 输入 的 命 
令 ， 然 后 把 “YES” 改 成 “NO”， 看 看 是 什么 效果 。 
下 一 市 将 会 继续 说 明 。 


5.2.5 ”解析 函数 参数 


在 上 面 的 例子 中 ， 函 数 的 参数 明确 ， 函 数 名 
的 含义 明显 ， 但 我 们 还 是 拿 不 准 在 调用 时 到 压 古 
传 YES 还 是 NO， 只 能 徘 猜 。 浏 唤 通 过 class-dump 
导出 的 头 文 件 时 ， 会 发 现 绝 大 多 数 函 数 的 参数 类 
型 是 id， 也 就 是 Objective-C 里 的 泛 型 ， 它 们 是 在 
运行 时 动态 决定 的 ， 猜 都 没 法 猜 。 我 们 从 感 兴 
的 功能 开始 ， 一 路 分 析 到 了 对 应 风 函 数 ， 
FARBIS AT, MEZEA? SEH 
$$! ”CydiaSubstrate 和 Theos 异 口 同 声 地 说 。 


还 记得 我 们 是 怎样 判断 函数 调用 时 机 的 吧 ? 
既然 能 打印 一 个 目 定义 字符 串 ， 束 完全 能 打印 出 
函数 参数 的 信息 一 一 description 函 数 能 够 把 对 象 的 
内 容 表 示 成 一 个 NSString，object_getClassName 画 


TREGUA LUN RA RA NB T char*, PEE al oy 
别 用 %@ 和 %s 打 印 出 来 ， 这 束 为 解析 参数 提供 了 
足够 参考 。 对 于 刚才 完成 的 玲 屏 操作 ， 
saveScreenshot: 的 参数 是 YES 还 是 NO， 唯 一 的 区 
别 好 像 在 于 屏幕 是 否 闪 现 白 光 。 依 据 这 个 线索 ， 
很 快 就 能 定位 到 可 疑 的 SBScreenFlash 类 ， 其 中 有 
一 个 有 意思 的 函数 flashColor:withCompletion: 
是 否 闪光 可 以 选择 ， 难 道内 区 的 颜色 也 可 以 改 
变 ? 而 且 ， 参 数 类 型 似乎 驶 是 UIColor 吧 ? 编写 下 
面 的 代码 ， 来 满足 一 下 目 己 的 好 奇 心 。 


%hook SBScreenFlash 
- (void)flashColor:(id)argi withCompletion:(id)arg2 
i H 
?60r 19 ; 
NSLog(Q"iOSRE: flashColor: 96s, %@", 
object getClassName(argi), argi); // [arg1 description] 可 以 
直接 写成 arg1 
} 
%end 


作为 练习 3， 请 读者 把 上 面 的 代码 变 成 一 个 可 
用 的 tweak。 


安装 完成 后 ， 注 销 (respring) 一 次 ， 截 个 
屏 ， 再 通过 ssh 命 令 连 接 到 iOS 上 看 看 syslog， 你 所 
看 到 的 内 容 应 该 如 下 所 示 : 


可 


FunMaker-5:- root# grep iOSRE: /var/log/syslog 

Nov 24 16:40:33 FunMaker-5 SpringBoard[2926]: iOSRE: 
flashColor: UICached DeviceWhiteColor, 
UIDeviceWhiteColorSpace 1 1 


可 以 看 出 ，color 是 一 个 
UICachedDeviceWhiteColor 类 型 的 对 象 ， 它 的 
description 是 “UIDevice WhiteColorSpace 11”°。 根 
据 命 名 规则 ，UICachedDeviceWhiteColor 是 UIKit 
中 的 一 个 类 ， 但 在 文档 中 搜索 不 到 这 个 类 ， 因 此 
可 以 断定 它 是 个 私有 类 。 在 class-dump 出 的 UIKit 


头 文 件 中 找到 UICachedDevicewWhiteColorh， 打 开 
TUB, WF: 


@interface UICachedDevicewhiteColor : UIDevicewhiteColor 


1 cm 一 


(void) forceDealloc; 

- (void)dealloc; 

- (id)copy; 

- (id)copyWithZzone:(struct _NSZone *Jarg1; 
- (id)autorelease; 

- (BOOL)retainweakReference; 
- (BOOL)allowsWeakReference; 
- (unsigned int)retainCount; 
- (id)retain; 

- (oneway void)release; 

@end 


它 继 承 目 UIDevicewWhiteColor， 于 是 继续 找 


到 UIDeviceWhiteColorh， 如 下 : 


@interface UIDevicewhiteColor : UIColor 
{ 

float whiteComponent; 

float alphaComponent; 

struct CGColor *cachedColor; 

long cachedColorOnceToken; 


} 

- (BOOL)getHue:(float *)argi saturation:(float *)arg2 
brightness:(float *)arg3 alpha:(float *)arg4; 

- (BOOL)getRed:(float *)argi green:(float *)arg2 blue:(float 
*)arg3 alpha:(float *)arg4; 

- (BOOL)getWhite:(float *)argi alpha:(float *)arg2; 


- (float)alphaComponent; 

- (struct CGColor *)CGColor; 

- (unsigned int)hash; 

- (BOOL)isEqual:(id)argi; 

- (id)description; 

- (id)colorSpaceName; 

- (void)setStroke; 

- (void)setFill; 

- (void)set; 

- (id)colorwithAlphaComponent: (float )arg1; 

- (struct CGColor *) createCGColorwithAlpha: (float )arg1; 
- (id)copyWithZone: (struct _NSZone *)arg1; 

- (void)dealloc; 

- (id)initWithCGColor:(struct CGColor *)arg1; 

- (id)initWithwhite:(float)arg1 alpha: (float )arg2; 
@end 


UIDeviceWhiteColorZE7K E UIColor, KI 
UIColor 是 一 个 公开 类 ， 所 以 对 参数 类 型 的 解析 到 
这 个 程度 吏 可 以 了 。 对 其 他 id 类 型 参数 的 解析 均 
可 重复 上 述 思 路 。 


知道 KAHAR, ft T EA 
2X, EAE ACS RA Ba TST, E 
MAAN B COITU REWIR, JURE D 
UR (5 FAA a Re TAR I ARE EZ 


接 下 来 要 用 Cycript 来 测试 这 个 函数 ， 看 看 传 
进去 一 个 [UIColor magentaColor] 征 什么 效果 ， 如 
下 : 


FunMaker-5:~ root# cycript -p SpringBoard 
cy# [[SBScreenFlash mainScreenFlasher] flashColor:[UIColor 
magentaColor] withCompletion:nil] 


一 抹 紫 红色 的 光 在 屏幕 上 散 开 ， 比 白色 的 内 
光 有 个 性 多 了 。 检 查 相册 ， 并 没有 看 到 新 截屏 ， 
因此 自然 地 猜测 ， 这 个 函数 仅仅 负责 截屏 时 的 内 
光 功 能 ， 而 不 进行 实际 截屏 操作 一 一 一 个 新 的 
tweak 灵 感 就 此 产生 : 我 们 可 以 钓 住 (hook) 这 个 
flashColor:with Completion: 函数 ， 把 自 定 义 的 颜 
色 作 为 参数 传递 给 它 ， 从 而 使 截屏 内 光 变 得 丰富 
彩 起 来 。 这 个 tweak 作 为 练习 ， 请 读者 独立 完 


多 
DE 


以 上 的 套路 是 笔者 5 年 多 以 来 的 总 结 ， 因 为 
iOS 逆 向 工程 没有 任何 官方 资料 可 供 参 考 ， 笔 者 个 
人 经 验 难 免 有 失 偏 颇 ， 不 可 能 面面俱到 ， 所 以 ， 
http://bbs.iosre.comB XT EEM ERF, XX 
提问 | 


5.2.6 class-dump 的 局 限 性 


分 析 通 过 class-dump 导 出 的 头 文件 ， 我 们 找到 
了 感 兴趣 的 东西 ， 并 在 5.2.4 节 的 Cycript 试 难 中 看 
到 了 对 SBScreenShotter 类 中 saveScreenshot: EKA 
传 YES 和 NO 两 种 参数 时 函数 的 不 同 执行 效果 。 


在 5.2.5 广 里， 解析 了 SBScreenFlash 类 的 
flashColor:withCompletion:EX 20-2. » M 
flashColor:withCompletion: 的 效 条 来 看 ， 我 们 猜测 


它 应 该 发 生 在 saveScreenshot: WAS, MARK 
根据 class-dump 的 头 文 件 ， 结 合 CydiaSubstrate， 

最 多 也 只 能 判 上 晰 出 saveScreenshot: 和 
flashColor:withCompletion: 的 先后 调用 顺序 ， 至 于 
两 痢 的 实现 细 广 和 调用 天 系 则 不 得 而 知 。 


完成 了 一 个 tweak， 应 该 小 小 庆 视 一下。 从 灵 
感 ， 到 文件 ， 到 了 芳 数 ， 最 后 到 成 型 的 tweak， 所 有 
Objective-C 级 别 的 逆 癌 工程 都 遵循 这 个 套路 ， 只 
是 实现 细 廊 不同 而 已 。 即 使 完全 不 慌 越 狱 开发 ， 
RATS OR LE BIA TERR, TEE BANE o MERE 
R, TEMIR, FER, ARIK, Sm 
了 Objective-C 级 别 的 逆 同 工程 思路 ， 想 要 进 阶 更 
高 的 级 别 ， 吏 会 发 现 class-dump 不 够 用 了 » 


在 完成 一 个 小 tweak 之 后 ， 我 们 还 应 清楚 地 意 
识 到 ， 与 这 个 tweak 相 关 的 很 多 知识 点 还 没有 和 弄 清 
楚 ， 而 通过 class-dump 得 到 的 信息 并 不 足以 文 撑 我 
们 和 弄 清 这 些 未 知 的 东西 ， 束 好 像 我们 号 处 赦 回 工 
程 这 片 皮 密 的 原始 森林 中 ，class-dump 提 供 了 可 以 
落脚 的 小 屋 ， 但 要 走出 这 卢 条 林 ， 还 需要 一 张 地 
图 和 一 个 指南 针 一 一 它们 束 定 IDA 和 LLDB。 这 两 
就 工具 束 像 两 座 挡 在 我 们 面前 的 大 山 ， 绝 大 多 数 
逆 回 工程 初学 痢 都 没 能 成 功 翻越 它们 ， 疏 到 半山 
腰 束 打道 回 主 了， 而 翻越 大 山 的 人 们 顺利 跨 过 逆 
器 工 程 的 门槛 ， 欣 里 到 了 别 样 的 风景 。 梦 想 还 古 
要 有 的 ， 万 一 实现 了 呢 ? 我 们 鼓 起 勇气 ， 试 试看 
能 不 能 征服 它们 。 


5.3 ”实例 演示 


在 翻 山越 岭 之 前 ， 本 节 将 针对 刚才 讲 过 的 理 
论 作 一 次 全 面 的 实战 演练 ， 让 大 家 更 牢固 地 掌握 
所 学 的 知识 ， 以 便 更 平稳 地 过 渡 到 第 6 章 。 本 次 实 
战 演 练 的 内 容 是 一 个 真实 的 示例 ， 它 按照 5.2 节 所 
示 的 套路 ， 完 整地 讲述 了 笔者 iOS 6 插件 “Speaker 
SBSettings Toggle” (如 图 5-14 所 示 ) 的 开发 过 
程 。 当 时 笔者 还 不 会 使 用 [DA 和 LLDB， 所 有 的 线 
索 几 乎 都 来 自 class-dump 和 误 打 误 接 ， 能 够 比较 好 
地 代表 iOS 逆 向 工程 初学 者 的 状态 。 
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More Refresh Dock Respring Power 


905 Wi-Fi IP Address: 192.168.3.4 
Data IP Address: N/A 
Storage: 249 MB on / 5532 MB on /var 
Available Memory: 126 MB 


D Wu o 
图 5-14 Speaker SBSettings Toggle 


注意 下面 的 具体 步 又 已 不 适用 于 ioOS 8, 
大 家 当做 案例 ， 了 人 解 思路 ， 作 为 参考 束 好 。 


请 


5.3.1 fJ xm 


2012F 3 AK, ZEKE — 1 D BH SETTE SAN 
Shoghian 发 来 的 邮件 ， 邮 件 中 分 享 了 一 个 创意 : 
iOS 通 话 时 用 户 可 以 从 听 简 切换 到 人 免 提 ， 但 很 少 有 
人 人 知道， 接听 来 电 时 是 可 以 默认 打开 免 提 的 ， 这 
个 功能 对 那些 开车 、 做 饭 或 工作 时 双手 不 方便 接 
电话 的 人 非常 有 用 。 但 是 这 么 有 用 的 功能 却 被 iOS 
wee TC” > “A” > “辅助 功能 ”~ “来 电 使 
用 ”的 四 级 目录 里 (如 图 5-15 所 示 ) ， 设 置 起 来 非 
tn AHI » SBSettings LA FPE FEBJJT OS oe ARR 
这 类 问题 而 存在 的 ， 因 此 笔者 打算 把 这 个 功能 做 
M—TMoggle, MIX AEE AS FRAY a EK 
个 临街 的 门面 ， 把 好 的 事物 呈现 在 更 多 人 的 面 
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图 5-15 Incoming Calls7 [fj 


5.3.2 FELICE 


因为 这 个 功能 位 于 “ 议 置 ?中 ， 所 以 笔者 的 第 
一 反应 目 然 是 
1£*/ Applications/Preferences.app"l*/System/Librar 
y/PreferenceBundles/ 里 寻找 可 疑 文件 ， 大 致 步骤 
如 下 。 


1. 将 iOS 系 统 语言 换 成 英文 


因为 ioS 的 文件 系统 是 全 英文 的 ， 所 以 在 开始 
分 析 之 前 ， 笔 者 先 把 iOS 的 系统 语言 设置 成 了 英 
AL, JXUEETEDU X, OCT ROUTE RUBIA TR] UL E 
显示 的 关键 词 殉 更 有 可 能 产生 对 应 天 系 。 


2. 发 现 *Accessibility” 天 键 词 


Wiis Ba, “WR” > CHAR” SEI 
Be” — “来 电 使 用 ” 翻 详 成 


T “Settings” ^ “General” > “Accessibility” ^ *Incomi 
ng Calls”, LH Accessibility #15] 5 | && f BAA 
注意 ， 因 为 不 结合 语 境 的 话 ，Accessibility 是 不 会 
直译 成 “辅助 功能 "的 。 于 是 笔 着 ssh 到 iOS 中 ， 以 
Accessibility 为 关键 词 进行 了 一 次 grep 操 作 ， 如 

E 


FunMaker-4s:- root# grep -r Accessibility / 

grep: /Applications/Activator.app/Default- 
568h@2x~iphone.png: No such file or directory 

grep: /Applications/Activator.app/Default.png: No such file 
or directory 

grep: /Applications/Activator.app/Default-iphone.png: No 
such file or directory 

grep: /Applications/Activator.app/Launchimage-700- 
568h@2x.png: No such file or directory 

Binary file 
/Applications/Activator.app/en.lproj/Localizable.strings 
matches 

grep: /Applications/Activator.app/iOS7-Default- 
LandscapeQ2x.png: No such file or directory 

grep: /Applications/Activator.app/iOS7-Default- 
PortraitQ2x.png: No such file or directory 

Binary file /Applications/AdSheet.app/AdSheet matches 
Binary file /Applications/Compass.app/Compass matches 


得 到 的 结 采 很 多 ， 但 最 吸引 笔者 的 是 下 面 这 
几 个 以 strings 为 后 级 的 文件 : 


Binary file 
/Applications/Preferences.app/English.lproj/General- 
Simulator.strings matches 

Binary file 
/Applications/Preferences.app/English.lproj/General-iphone.s 
trings matches 

Binary file /Applications/Preferences.app/General- 
Simulator.plist matches 

Binary file /Applications/Preferences.app/General.plist 
matches 

Binary file /Applications/Preferences.app/Preferences 
matches 

Binary file 

/Applications/Preferences.app/en GB.lproj/General- 
Simulator.strings matches 

Binary file 

/Applications/Preferences.app/en GB.lproj/General-iphone.str 
ings matches 


如 果 不 出 意外 ， 它 们 是 App 字 符 串 本 地 化 的 
配置 文件 ， 里 面 应 该 含有 Accessibility 在 代码 中 的 
从 号 名 。 用 Xcode 目 带 的 plutil 工 具 查 看 strings 文 件 
非常 方便 ， 先 来 看 


&*/Applications/Preferences.app/English.lproj/Gene 


ral~iphone.strings”, 4 F: 


snakeninnys-MacBook:~ snakeninny$ plutil -p 
~/General\~iphone.strings 


"Videos..." => "? Videos..." 
"Wallpaper" => "Wallpaper" 
"TV_OUT" => "TV Out" 
"SOUND_EFFECTS" => "Sound Effects" 
"d MINUTES" => "%@ Minutes" 


"ACCESSIBILITY" -» "Accessibility" 
"Multitasking Gestures" -» "Multitasking Gestures" 


HH “ACCESSIBILITY ”=>“Accessibility” 27s n] 
以 断定 ，“ACCESSIBILITY” 就 是 代码 中 使 用 的 符 
E 


3. 发 现 General.plist 


有 了 新 的 线索 后 ， 以 大 写 的 ACCESSIBILITY 
AR], Xgrepf —, UF: 


FunMaker-4s:- root# grep -r ACCESSIBILITY / 

grep: /Applications/Activator.app/Default- 
568h@2x~iphone.png: No such file or directory 

grep: /Applications/Activator.app/Default.png: No such file 
or directory 

grep: /Applications/Activator.app/Default-iphone.png: No 
such file or directory 

grep: /Applications/Activator .app/LaunchImage-700- 
568h@2x.png: No such file or directory 

grep: /Applications/Activator .app/i0S7 -Default - 
Landscape@2x.png: No such file or directory 

grep: /Applications/Activator .app/i0S7 -Default - 
Portrait@2x.png: No such file or directory 

Binary file 
/Applications/Preferences.app/Dutch.lproj/General- 
Simulator.strings matches 

Binary file 
/Applications/Preferences.app/Dutch.lproj/General-iphone.str 
ings matches 

Binary file 
/Applications/Preferences.app/English.lproj/General- 
Simulator.strings matches 

Binary file 
/Applications/Preferences.app/English.lproj/General-iphone.s 
trings matches 

Binary file 
/Applications/Preferences.app/French.lproj/General- 
Simulator.strings matches 

Binary file 
/Applications/Preferences.app/French.lproj/General-iphone.st 
rings matches 

Binary file /Applications/Preferences.app/General- 
Simulator.plist matches 

Binary file /Applications/Preferences.app/General.plist 
matches 

Binary file 
/Applications/Preferences.app/German.lproj/General- 
Simulator.strings matches 

Binary file 
/Applications/Preferences.app/German.lproj/General-iphone.st 
rings matches 


得 到 的 结果 与 刚才 grep 结 果 的 重合 度 很 高 ， 
其 中 ， 刚 才 没 有 留意 


的 “/Applications/Preferences.app/General.plist” 显 得 
格外 醒目 。 在 5.2.2 节 中 ， 特 意 提 到 了 
PreferenceBundle 的 概念 ， 此 处 General.plist 既 是 
plist 格 式 的 文件 ， 又 包含 天 键 词 ， 我 们 看 看 它 里 
面 有 什么 : 


snakeninnys-MacBook:- snakeninny$ plutil -p -/General.plist 


"title" -» "General" 
"items" => [ 
0 => { 
"cell" => "PSGroupCell" 
} 
1 => { 
"detail" => "AboutController" 
"cell" => "PSLinkCell" 
"label" => "About" 
} 
2 => { 
"cell" => "PSLinkCell" 
"id" => "SOFTWARE_UPDATE_LINK" 
"detail" => "SoftwareUpdatePrefController" 
"label" => "SOFTWARE_UPDATE" 
"cellClass" => "PSBadgedTableCell" 


24 => { 
"detail" => "PSInternationalController" 


"cell" => "PSLinkCell" 
"label" -» "INTERNATIONAL" 


25 => { 
"cell" => "PSLinkCell" 
"bundle" => "AccessibilitySettings" 
"label" => "ACCESSIBILITY" 
"requiredCapabilities" => [ 
© => "accessibility" 


"isController" => 1 


} 
26 => { 

"cell" => "PSGroupCell" 
} 


4. 发 现 AccessibilitySetting.bundle 


果不其然 ， 这 个 文件 就 是 一 个 标准 的 
preference specifier plist， 大 写 的 “ACCESSIB- 
ILITY?” 来 目 25 号 单元 。 对 比 preferences specifier 
plist 格 式 ， 将 目标 锁定 在 Accessibility-Settings 这 个 
bundle; 由 AccessibilitySettings 的 名 字 ， 目 然 地 

青 测 这 个 bundle 可 能 负责 Accessibility 下 的 所 有 功 


BÉ ° TRjSS.2.2 D PA NFEE EEE, 
AccessibilitySettings.bundle— XE Zc Z RARA HE Yi 
1£*/System/Library/PreferenceBundles/" F, XPZ 
发 生 在 目 己 号 上 的 事情 浑然 不 知 。 


看 
 “/System/Library/PreferenceBundles/Accessibility 


Setting.bundle" # MATA: 


FunMaker-4s:- root# ls -la 
/System/Library/PreferenceBundles/Accessibility 
Settings.bundle 

total 240 

drwxr-xr-x 37 root wheel 2414 Mar 10 2013 . 
drwxr-xr-x 40 root wheel 1360 Jan 14 2014 .. 
-rw-r--r-- 1 root wheel 2146 Mar 10 2013 
Accessibility.plist 

-rwxr-xr-x 1 root wheel 438800 Mar 10 2013 
AccessibilitySettings 

-rw-r--r-- 1 root wheel 238 Dec 22 2012 
BluetoothDeviceConfig.plist 

-rw-r--r-- 1 root wheel 252 Mar 10 2013 
BrailleStatusCellSettings.plist 

-rw-r--r-- 1 root wheel 4484 Dec 22 2012 
ColorwellRoundQ2x.png 

-rw-r--r-- 1 root wheel 916 Dec 22 2012 
ColorwellSquareQ2x.png 

drwxr-xr-x 2 root wheel 646 Feb 7 2013 Dutch.1lproj 
drwxr-xr-x 2 root wheel 646 Dec 22 2012 English.lproj 


drwxr-xr-x 2 root wheel 646 
drwxr-xr-x 2 root wheel 646 
-rw-r--r-- 1 root wheel 703 
GuidedAccessSettings.plist 
-rw-r--r-- 1 root wheel 807 
HandSettings.plist 

-rw-r--r-- 1 root wheel 652 
HearingAidDetailSettings.plist 
-rw-r--r-- 1 root wheel 507 
HearingAidSettings.plist 
-rw-r--r-- 1 root wheel 383 
HomeClickSettings.plist 
-rw-r--r-- 1 root wheel 447 


-rw-r--r-- 1 root wheel 1113 
IconRecord@2x.png 


-rw-r--r-- 1 root wheel 170 
-rw-r--r-- 1 root wheel 907 
drwxr-xr-x 2 root wheel 646 
drwxr-xr-x 2 root wheel 646 
-rw-r--r-- 1 root wheel 364 
LargeFontsSettings.plist 

-rw-r--r-- 1 root wheel 217 


NavigateImagesSettings.plist 
-rw-r--r-- 1 root wheel 1030 
QuickSpeakSettings.plist 


-rw-r--r-- 1 root wheel 346 
RegionNamesNonLocalized.strings 
drwxr-xr-x 2 root wheel 646 
-rw-r--r-- 1 root wheel 394 
SpeakerLoad1@2x.png 

-rw-r--r-- 1 root wheel 622 
TripleClickSettings.plist 
-rw-r--r-- 1 root wheel 467 
VoiceOverBrailleOptions.plist 
-rw-r--r-- 1 root wheel 2477 
VoiceOverSettings.plist 
-rw-r--r-- 1 root wheel 540 
VoiceOverTypingFeedback.plist 
-rw-r--r-- 1 root wheel 480 
ZoomSettings.plist 

drwxr-xr-x 2 root wheel 102 
drwxr-xr-x 2 root wheel 646 


-rw-r--r-- 1 root wheel 8371 
bottombar@2x~iphone. png 
-rw-r--r-- 1 root wheel 2701 
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Mar 
Mar 
Mar 
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Dec 
Dec 


Dec 
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Feb 
Feb 
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2013 
2012 
2013 
2013 
2013 
2013 
2012 


2012 
2012 


2012 
2013 
2013 
2013 
2012 
2013 
2012 
2012 


2013 
2012 


2013 


2012 


2013 


2013 


2012 


2012 


2013 


2012 


2012 


French.lproj 
German.lproj 


IconPlayQ2x.png 


IconStopQ2x.png 
Info.plist 
Italian.lproj 
Japanese.lproj 


Spanish.lproj 


_CodeSignature 
ar.lproj 


bottombarblue@2x~iphone. png 
-rw-r--r-- 1 root wheel 2487 Dec 22 2012 
bottombarblue_pressed@2x~iphone. png 
-rw-r--r-- 1 root wheel 2618 Dec 22 2012 
bottombarred@2x~iphone.png 

-rw-r--r-- 1 root wheel 2426 Dec 22 2012 
bottombarred_pressed@2x~iphone.png 
-rw-r--r-- 1 root wheel 2191 Dec 22 2012 
bottombarwhite@2x~iphone.png 

-rw-r--r-- 1 root wheel 2357 Dec 22 2012 
bottombarwhite_pressed@2x~iphone.png 
drwxr-xr-x 2 root wheel 646 Feb 
drwxr-xr-x root wheel 646 Feb 
drwxr-xr-x root wheel 646 Feb 
drwxr-xr-x root wheel 646 Feb 
drwxr-xr-x root wheel 646 Feb 
drwxr-xr-x root wheel 646 Feb 
-rw-r--r-- root wheel 955 Dec 2 
drwxr-xr-x root wheel 646 Feb 
drwxr-xr-x root wheel 646 Feb 
drwxr-xr-x root wheel 646 Feb 
drwxr-xr-x root wheel 646 Feb 
drwxr-xr-x root wheel 646 Feb 
drwxr-xr-x root wheel 646 Feb 
drwxr-xr-x root wheel 646 Feb 
drwxr-xr-x root wheel 646 Feb 
drwxr-xr-x root wheel 646 Feb 
drwxr-xr-x root wheel 646 Feb 
drwxr-xr-x root wheel 646 Feb 
drwxr-xr-x root wheel 646 Feb 
drwxr-xr-x root wheel 646 Feb 
drwxr-xr-x root wheel 646 Feb 
drwxr-xr-x root wheel 646 Feb 
drwxr-xr-x root wheel 646 Feb 
-rw-r--r-- root wheel 998 Dec 2 
drwxr -xr-x root wheel 646 Feb 
drwxr -xr-x root wheel 646 Feb 
drwxr -xr-x root wheel 646 Feb 
drwxr -xr-x root wheel 646 Feb 


2013 ca.lproj 
2013 cs.lproj 
2013 da.lproj 
2013 el.lproj 
2013 en GB.lproj 
2013 fi.lproj 
2012 hareQ2x.png 
2013 he.lproj 
2013 hr.lproj 
2013 hu.lproj 
2013 id.lproj 
2013 ko.lproj 
2013 ms.lproj 
2013 no.lproj 
2013 pl.lproj 
2013 pt.lproj 
2013 pt PT.lproj 
2013 ro.lproj 
2013 ru.lproj 
2013 sk.lproj 
2013 sv.lproj 
2013 th.lproj 
2013 tr.lproj 
2012 turtleQ2x.png 
2013 uk.lproj 
2013 vi.lproj 
2013 zh CN.lproj 
2013 zh TW.lproj 


NNNNENNNNNNNNNNNNNNNNENNNNND 
NNNNN NNN NNNNNNNNNNNNNNNNNNNN 


这 里 的 GuidedAccess、HearingAid 和 
HomeClick 等 字眼 和 我 们 在 “Accessibility” 中 看 到 
的 内 容易 合 (如 图 5-16 所 示 ) ， 它 们 印证 了 笔者 
的 猜测 。 


5. 发 
现 “ACCESSIBILITY DEFAULT HEADSET” 关 键 
inj 


借助 强大 的 grep， 以 “Incoming” 为 关键 词 搜索 
一 下 这 个 bundle， 如 下 : 


General Accessibility 


Hearing 


Vv 


Hearing Aids 


LED Flash for Alerts C) OFF ) 


Mono Audio C) OFF ) 


L w R 


7 


Adjust the audio volume balance between 
left and right channels. 


Learning 


Guided Access Off > | 


Physical & Motor 


图 5-16 ”关键 词 重 合 度 高 


FunMaker-4s:~ root# grep -r Incoming 
/System/Library/PreferenceBundles/AccessibilitySettings.bund 
le 

Binary file 
/System/Library/PreferenceBundles/AccessibilitySettings.bund 
le/English.lproj/Accessibility-iphone.strings matches 

Binary file 
/System/Library/PreferenceBundles/AccessibilitySettings.bund 
le/en GB.lproj/Accessibility-iphone.strings matches 


搜索 的 结 来 同 本 小 太 开 始 时 的 场景 如 出 一 
HL o dT 
JT “/System/Library/PreferenceBundles/Accessibility 


Settings.bundle/English.lproj/Accessibility~iphone.st 
rings" FA: 


snakeninnys-MacBook:- snakeninny$ plutil -p 
~/Accessibility\~iphone.strings 
{ 

"HAC_MODE_POWER_REDUCTION_N90" => "Hearing Aid Mode 
improves performance with some hearing aids, but may reduce 
cellular reception." 

"LEFT_RIGHT_BALANCE_SPOKEN" => "Left-Right Stereo Balance" 

"QUICKSPEAK_TITLE" => "Speak Selection" 

"LeftStereoBalanceIdentifier" => "L" 

"ACCESSIBILITY_DEFAULT_HEADSET" => "Incoming Calls" 

"HEADSET" => "Headset" 

"CANCEL" => "Cancel" 

"On" => "On" 

"CUSTOM_VIBRATIONS" => "Custom Vibrations" 

"CONFIRM_INVERT_COLORS_REMOVAL" => "Are you sure you want 
to disable inverted colors?" 

"SPEAK_AUTOCORRECTIONS" => "Speak Auto-text" 

"DEFAULT HEADSET FOOTER" => "Choose route for incoming 
calls." 

"HEARING AID COMPLIANCE INSTRUCTIONS" -» "Improves 
compatibility with hearing aids in some circumstances. May 
reduce 2G cellular coverage." 

"DEFAULT HEADSET" -» "Default to headset" 

"ROOT LEVEL TITLE" => "Accessibility" 

"HEARING AID COMPLIANCE" => "Hearing Aid Mode" 

"CUSTOM VIBES INSTRUCTIONS" -» "Assign unique vibration 


patterns to people in Contacts. Change the default pattern 
for everyone in Sounds settings." 

"VOICEOVERTOUCH TEXT" => "VoiceOver is for users with 
blindness or vision disabilities." 

"IMPORTANT" => "Important" 

"COGNITIVE_HEADING" => "Learning" 

"HAC MODE EQUALIZATION N94" => "Hearing Aid Mode improves 
audio quality with some hearing aids." 

"SAVE" => "Save" 

"HOME CLICK TITLE" => "Home-click Speed" 

"AIR_TOUCH_TITLE" => "AssistiveTouch" 

"CONFIRM_ZOT_REMOVAL" => "Are you sure you want to disable 
Zoom?" 

"VOICEOVER_TITLE" => "VoiceOver" 

"OFF" => "Off" 

"GUIDED ACCESS TITLE" => "Guided Access" 

"ZOOMTOUCH TEXT" => "Zoom is for users with low-vision 
acuity." 

"INVERT COLORS" => "Invert Colors" 

"ACCESSIBILITY SPEAK AUTOCORRECTIONS" => "Speak Auto-text" 

"LEFT RIGHT BALANCE DETAILS" -» "Adjust the audio volume 
balance between left and right channels." 

"MONO AUDIO" => "Mono Audio" 

"CONTRAST" => "Contrast" 

"ZOOM TITLE" => "Zoom" 

"TRIPLE CLICK HEADING" => "Triple-click" 

"OK" => "OK" 

"SPEAKER" => "Speaker" 

"AUTO_CORRECT_TEXT" => "Automatically speak auto- 
corrections 
and auto-capitalizations." 

"HEARING" => "Hearing" 

"LARGE FONT" => "Large Text" 

"CONFIRM VOT USAGE" => "VoiceOver" 

"CONFIRM VOT REMOVAL" => "Are you sure you want to disable 
VoiceOver?" 

"HEARING AID TITLE" => "Hearing Aids" 

"FLASH_LED" => "LED Flash for Alerts" 

"VISION" => "Vision" 

"CONFIRM_ZOOM_USAGE" => "Zoom" 

"DEFAULT" => "Default" 

"MOBILITY_HEADING" => "Physical & Motor" 

"TRIPLE_CLICK_TITLE" => "Triple-click Home" 

"RightStereoBalanceIdentifier" => "R" 


"ACCESSIBILITY DEFAULI HEADSET"=> 
"Incoming Calls" 给 了 我 们 非常 明显 的 提示 ， 以 它 
为 线索 继续 得 找 。 


6. 定 位 Accessibility.plist 


FunMaker-4s:- root# grep -r ACCESSIBILITY DEFAULT HEADSET 
/System/Library/PreferenceBundles/AccessibilitySettings.bund 
le 

Binary file 
/System/Library/PreferenceBundles/AccessibilitySettings.bund 
le/Accessibility.plist matches 

Binary file 
/System/Library/PreferenceBundles/AccessibilitySettings.bund 
le/Dutch.lproj/Accessibility-iphone.strings matches 


除了 一 个 plist 文 件 外 ， 其 他 都 是 strings 文 件 ， 
那 融 是 它 了 。 看 看 它 里 面 有 什么 : 


snakeninnys-MacBook:- Snakeninny$ plutil -p 
~/Accessibility.plist 


"title" => "ROOT_LEVEL_TITLE" 
"items" => [ 
0 => { 


pu 


Nt 


"label" => "VISION" 
"cell" => "PSGroupCell" 
"footerText" => "AUTO CORRECT TEXT" 


=> { 

"cell" => "PSLinkListCell" 
"label" => "VOICEOVER_TITLE" 
"detail" => "VoiceOverController" 
"get" => "voiceOverTouchEnabled:" 


=> { 

"cell" => "PSLinkListCell" 
"label" => "ZOOM_TITLE" 
"detail" => "ZoomController" 
"get" => "zoomTouchEnabled:" 


18.25 4 


j 


"cell" => "PSLinkListCell" 
"label" => "HOME CLICK TITLE" 
"detail" -» "HomeClickController" 
"get" => "homeClickSpeed:" 


1g => { 


"detail" => "PSListItemsController" 
"set" => "accessibilitySetPreference:specifier:" 
"validValues" => [ 
0 => 0 
1 => 1 
2 => 2 
] 
"get" => "accessibilityPreferenceForSpecifier:" 
"validTitles" => [ 
Q => "DEFAULT" 
1 => "HEADSET" 
2 => "SPEAKER" 
] 
"requiredCapabilities" => [ 
0 => "telephony" 
] 
"cell" => "PSLinkListCell" 
"label" => "ACCESSIBILITY DEFAULT HEADSET" 
"key" => "DefaultRouteForCall" 


又 是 一 个 标准 的 preference specifier plist, m 
且 我 们 知道 了 这 个 配置 的 setter 和 getter 分 别 是 
accessibilitySetPreference:specifier: 41 
accessibilityPreferenceForSpecifier:, FJ LAA F — 
Z 


5.3.3 ”定位 函数 


根据 preference specifier plist 标 准 ， 在 选 
择 “Incoming Calls” 中 的 某 一 行 时 ， 其 setter， 即 
accessibilitySetPreference:specifier: 函数 得 到 调 
用 。 但 问题 随 之 而 来 ， 这 个 函数 存在 于 
AccessibilitySettings.bundle 里 ， 笔 者 当时 不 知道 怎 
么 将 这 个 bundle 加 载 进 内 存 ， 因 此 没 法 调用 这 个 


函数 ， 也 不 会 用 IDA 和 LLDB， 在 class-dump 的 函 
数 里 找 了 又 找 ， 仍 没有 发 现任 何 线索 ， 感 觉 这 个 
问题 的 难度 已 经 超出 笔者 的 能 力 范围 ， 一 时 解决 
不 了 ， 还 泪 来 地 给 Shoghian 发 了 封 邮件 ， 如 图 5- 


17 所 示 。 


发 件 人 : Shahrouz Shoghian 

«m mm - o -mo gom > 

主题 : Re: 

KA: d E <snakeninny@yahoo.com.cn> 
日 期 : 2012 年 4 月 14 日 , 周 六 ,上 午 12:29 


Wish i could help. Shoulda taken some computer 
engineering classes at my uni 


Shahrouz Shoghian 


On 2012-04-13, at 2:41 AM, Tr" 
<snakeninny@yahoo.com.cn> wrote: 


i'm kind of stuck at a place and looking for a 
compromise 


Sent from my iPhone 


图 5-17 我 和 Shoghian 之 间 的 交流 


这 个 问题 卡 了 笔者 近 两 个 星期 ， 期 间 笔 者 一 
直 在 想 ，iOS 能 在 这 个 函数 里 干 些 什么 呢 ? 因 为 
preferences specifier plist 中 提供 了 PostNotification 

一 方式 来 通知 别 的 进程 配置 文件 发 生 了 变动 ， 
而 WAR 电话 相关 ， 正 好 也 

进程 加 通信 的 模式 ， 那 么 ， 
accessibilitySetPreference:specifier: 的 作用 会 不 会 
是 改动 配置 文件 ， 然 后 发 出 一 个 通知 ? 于 是 笔者 
利用 limneos 开 发 的 LibNotifyWatch， 在 手动 改 
变 “ 来 电 使 用 ”配置 时 观察 系统 中 是 否 出 现 了 相关 
的 通知 ， 没 想到 ， 还 真 让 笔者 牌 打 正 着 了 ， 如 
下 : 


FunMaker-4s:~ root# grep LibNotifyWatch: /var/log/syslog 
Nov 26 00:09:20 FunMaker-4s Preferences[6488]: 
LibNotifyWatch: «CFNotification Center 0x1e875600 
[0x39b4b100]» 
postNotificationName:UIViewAnimationDidCommitNotification 
object:UIViewAnimationState userInfo:( 

Nov 26 00:09:20 FunMaker-4s Preferences[6488]: 


LibNotifyWatch: «CFNotificationCenter 0x1e875600 
[0x39b4b100]» 
postNotificationName:UIViewAnimationDidStopNotification 
object:«UIViewAnimationState: 0x1ea74f20» userInfo:( 


Nov 26 00:09:21 FunMaker-4s Preferences[6488]: 
LibNotifyWatch: CFNotificationCenterPostNotification center- 
«CFNotificationCenter Oxidd86bd0 [0x39b4b100 |> 
name-com.apple.accessibility.defaultrouteforcall useriInfo= 
(null) deliverImmediately=1 

Nov 26 00:09:21 FunMaker-4s Preferences[ 6488]: 
LibNotifyWatch: notify_post 
com.apple.accessibility.defaultrouteforcall 


笔者 发 现 了 2 条 名 
为 “com.apple.accessibility.defaultrouteforcall” 的 通 
Al! 结合 前 面 的 一 系列 推导 ， 想 来 没有 必要 再 多 
作 人 解释 了 。 发 现 了 最 可 疑 的 通知 后 ， 面 对 的 就 十 
另 一 个 同样 重要 的 问题 : 配置 文件 在 哪里 ? 


第 2 草 说 过 ,，“vavmobile/ 中 存放 了 大 量 用 户 
数据 。“/varvmobile/Containers/” 中 全 是 App 相 天 数 
$5, "/var/mobile/Media/" "P 4272 EIA E, m 
T£*/var/mobile/Library/" PFIN vi, SUL AB. £y 22 A 


Wl*/var/mobile/Library/Preferences/" H5&, 3# m fk 


#l|“com.apple.Accessibility.plist”, ENU F: 


snakeninnys-MacBook:~ snakeninny$ plutil -p 
~/com.apple.Accessibility.plist 
{ 


"DefaultRouteForCallPreference" => 2 
"VOTQuickNavEnabled" => 1 
"CurrentRotorTypeWeb" => 3 
"PunctuationKey" => 2 
"ScreenCurtain" => 0 
"VoiceOverTouchEnabled" => 0 
"AssistiveTouchEnabled" => 0 


j 


在 iOS 中 改变 "来电 使 用 ”的 配置 ， 观 察 


DefaultRouteForCallPreference 值 的 变化 规律 ， 很 


容易 得 出 结论 : Ox default, 1X headset, 
Nispeaker, 5 Accessibility.plitht ARYA ° 


5.3.4 测试 函数 


2 对 


在 经 过 漫长 的 推理 之 后 ， 笔 者 总 算得 出 了 一 
个 可 能 的 解决 方案 ， 仅 需 极 少 代码 即 可 修改 配置 
文件 ， 然 后 发 出 一 个 通知 ， 就 这么 简单 。 这 个 方 
案 可 行 吗 ? Phi — 8 i Ir T 25 XC kc e CATH JL, 
用 激动 的 双手 融 出 了 下 面 为 数 不 多 的 几 行 代码 
( 那 时 候 还 不 会 用 Cycript， 所 以 用 tweak 测 试 ) 


%hook SpringBoard 
- (void)menuButtonDown: (id)down 


%orig; 

NSMutableDictionary *dictionary = [NSMutableDictionary 
dictionary WithContents 
OfFile:Q"/var/mobile/Library/Preferences/com.apple. 
Accessibility.plist"]; 

[dictionary setObject:[NSNumber numberWithInt:2] 
forKey:Q"DefaultRouteForCallPreference"]; 

[dictionary 
writeToFile:Q"/var/mobile/Library/Preferences/com.apple. 
Accessibility. plist" atomically:YES]; 


notify post("com.apple.accessibility.defaultrouteforcall"); 


%end 


编译 、 运 行 、 安 装 、respring， 闭 着 眼睛 按 下 
home 键 ， 然 后 伴 看 极 快 的 心跳 依次 打 
JT "Settings" > “General” > “Accessibility” ^ *Incomi 


ng Calls” 一 一 已 选项 变 成 了 “Speaker”， 成 功 啦 ! 
5.3.5 ”编写 实例 代码 


程序 的 核心 功能 已 经 答 证 完毕， 写 代 码 束 不 
用 费 脑 子 了 了 。 按 照 SBSettings toggle 的 编写 规 苑 完 
成 代码 (http://thebigboss.org/guides-iphone-ipod- 
ipad/sbsettings-toggle-spec) ， 完 整 代 码 如 下 : 


#import <notify.h> 
#define ACCESSBILITY 
Q"/var/mobile/Library/Preferences/com.apple.Accessibility. 
plist" 
// Required 
extern "C" BOOL isCapable() { 

if (kCFCoreFoundationVersionNumber »- 
kCFCoreFoundationVersionNumber iOS 5 0 && [[[UIDevice 
currentDevice] model] isEqualToString:Q"iPhone"]) 

return YES; 
return NO; 


// Required 
extern "C" BOOL isEnabled() { 

NSMutableDictionary *dictionary - 
[[NSMutableDictionary alloc] initWithCont 
entsOfFile:ACCESSBILITY]; 

BOOL result - [[dictionary 
objectForKey:Q"DefaultRouteForCallPreference"] intValue] == 
0 ? NO : YES; 

[dictionary release]; 

return result; 

} 
// Optional 
// Faster isEnabled. Remove this if it's not necessary. Keep 
it if isEnabled() is expensive and you can make it faster 
here. 
extern "C" BOOL getStateFast() { 
return isEnabled(); 
} 
// Required 
extern "C" void setState(BOOL enabled) { 

NSMutableDictionary *dictionary = 
[[NSMutableDictionary alloc] initWithCont 
entsOfFile:ACCESSBILITY]; 

[dictionary setObject:[NSNumber numberWithInt:(enabled 
? 2 : 0)] forKey:Q"D efaultRouteForCallPreference"]; 

[dictionary writeToFile:ACCESSBILITY atomically:YES]; 
[dictionary release]; 


notify post("com.apple.accessibility.defaultrouteforcall"); 


} 
// Required 


// How long the toggle takes to toggle, in seconds. 
extern "C" float getDelayTime() { 
return 0.6f; 


i 


因为 程序 的 创意 来 目 Shoghian， 所 以 笔者 在 
发 布 这 个 程序 时 也 标注 了 他 的 名 字 (如 图 5-18 所 


示 ) 。 他 很 高 兴 ， 我 们 还 成 了 朋友 ， 偶 尔 也 天 南 
地 北 地 扯 上 一 会 儿 ° Speaker SBSettings Toggle 是 
笔者 发 布 在 Cydia 上 的 第 三 个 程序 ， 虽 然 功 能 简 
HRS DDUSCBTETTARRS, HERI T 31100008) 
下 载 量 (如 图 5-19 所 示 ) ， 对 此 笔者 已 经 很 满意 
了 。 更 重要 的 是 ， 这 个 tweak 的 制作 历经 坎坷 ， 看 
似 简单 的 功能 却 让 笔者 化 费 了 九 牛 二 席 之 力 ， 无 
疑 给 了 当时 刚刚 上 路 ， 有 些 轻 蒜 甘 的 笔者 当头 一 
fe! 类 似 的 情况 出 现 过 者 干 次 后 ， 笔 者 才 意识 到 
仅仅 使 用 class-dump 来 做 提问 工程 是 不 靠 谱 的 ， 也 
间接 促使 笔 首 下 十 决心 学 习 IDA 和 LLDB， 从 而 迈 
入 了 ioOSs 逆 向 工程 的 新 阶段 。 


|... Speaker SBSettings Toggle 


1.0 278 kB 


©. Change Package Settings ? 


| » Author snakeninny & S.Shoghian > 


Installed Package 


E Version 1.0 | 


| wy Filesystem Content > 


com.naken.speaker 
BigBoss - Addons (SBSettings) 


四 ^^ 


图 5-18 ”第 二 作者 是 Shoghian 


SMSNinja (v1.3.1) — ]102947 o [102947 
[Speaker SBSettings Toggle (v0.0.1-3)|9522 lo 19522 | 


(Characount for Notes (v1.0) [14447 Jo | 14447 
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5.4 Ne 


本 章 较 为 完整 地 介绍 了 tweak 的 作用 原理 及 编 
写 简 单 tweak 的 思路 和 流程 ， 佐 以 真实 和 案例， 能 够 
较 好 地 为 初学 考 捉 供 参 考 。Objective-C 级 别 的 先 
问 工 程 是 iDS 赣 癌 工 程 的 第 一 天 ， 在 没有 上 手 IDA 
TILLDB-Z Bi, Xx iOSB 339 [6] TEA HR] REIRA SIT 
么 地 步 ， 也 没有 什么 逻辑 可 言 ， 相 信 你 从 案例 里 
也 看 出 来 了 ， 我 们 对 二 进 制 文件 的 逆向 非常 力 不 
从 心 ， 当 问题 的 关键 集 中 在 代码 上 时 ， 解 决 问题 
的 主要 方式 束 是 猜 ! 虽然 刚才 编写 的 代码 跟 iOS 目 
号 的 实现 差 了 十 万 八 千里 ， 但 因为 Objective-C 函 
数 名 的 可 读 性 高 ， 所 以 即使 是 猿 ， 也 还 是 能 利用 
class-dump 出 的 函数 达到 预期 效 采 ， 给 目 己 市 来 跟 
App 开 发 完全 不 同 的 感觉 ， 让 人 耳目 一 新 。 


TESI CREO SBE, BONES HEA 
ABOWOSEANS, RRB LE EY ST] AT 
点 ， 在 掌握 各 种 工具 用 法 的 同时 有 意识 地 培养 目 
己 的 逆 回 思维 。 如 采 时 间 比 较 充 容 ， 强 烈 建议 大 
家 通 贤 class-dump 出 的 头 文 件 ， 拒 那些 语义 明显 、 
自己 感 兴趣 的 函数 放 到 iOS 上 实测 一 下 ， 这 个 过 程 
能 极 大 地 增加 你 对 iOS 压 层 的 熟悉 程度 ， 配 合 后 续 
的 IDA 与 LLDB 和 学习 ， 能 达到 事半功倍 的 效果 。 只 
要 我 们 多 思考 、 勤 练习 ， 束 能 早日 提炼 出 更 适合 
自己 的 方法 ， 进 一 步 达到 更 高 的 水 平 。 


第 6 草 ARMI HROS [n] io de 
fit 


面 的 章节 中 介绍 了 ioOS 逆 回 工 程 的 基础 知 
些 第 见 工 具 的 组 合 使 用 ， 在 掌握 了 

ALA Za, WAHIE PMObjective-C 8 EN 
A, WAR PA OCW DAZ, TL 
针对 App 开 发 tveak 了 。 但 是 ， 既 然 看 到 了 这 里 ， 
相信 大 家 部 具有 比较 强 的 钻研 精 俐 ， 如 果 想 要 真 
IER Rm BONA, MBE A HRERS 
AA S HBA, Mike aR, ioSM [8] Leek 
“hee”, Bare 0B ena ee T E geek A 
头 大 的 知识 。 请 先 深 呼吸 一 分 钟 ， 然 后 问 问 目 
己 : “我 是 否 真 的 适合 深入 学 习 iOS 逆 同 工 程 ? ”在 
完成 本 草 之 后 ， 相 信 你 会 得 到 答案 


it 


4 
pim 


Bi Tq 
d — 
识 之 


E 


下 面 即将 面 对 i9S 逆 向 工程 中 的 第 一 个 进 阶 难 
点 : 阅读 ARM 汇 编 语 言 。 经 过 前 几 章 的 学 习 ， 相 
信 大 家 已 经 知道 ，Objective-C 代 码 在 经 过 编译 后 
形成 机 器 码 ， 它 们 由 设备 鸭 CPU 直接 执行 。 别 说 
编写 ， 阅 读 机 器 码 都 已 经 是 一 个 非常 恼人 的 工 
作 ; 好 在 Objective-C 和 机 豆 码 之 间 有 汇编 语言 这 
座 桥 ， 它 的 可 读 性 虽然 远 不 如 Objective-C， 但 比 
机 器 码 要 强 多 了 一 一 如 采 你 能 够 噶 下 这 块 硬 骨 
Kk, PARE, (RAB RAT CIHR 
WA. GSR RENE RAIN ee aR SS, Bl 
AppStore}? A F xe Vf S FR) UHR ..... 


6.1 ARM) Jnnt 


对 于 很 多 iOS 开 发 者 来 说 ，ARM 汇 编 是 一 门 
全 新 的 语言 ， 如 果 你 是 计算 机 专业 科班 出 身 ， 应 
该 已 经 对 汇编 语言 有 了 初步 的 印象 ， 只 是 对 于 很 
多 人 来 说 ， 大 学 期 间 的 汇编 语言 课 简直 跟 天 书 一 
样 深 奥 ， 它 在 我 们 心里 埋 下 了 获 慢 的 种 子 ， 仿 佛 
一 提 到 汇编 语言 ， 它 就 会 像 紧 汞 只 一 样 勒 紧 我 们 
的 头 ， 让 我 们 疼痛 不 已 。 汇 编 语 言 真 的 有 这 人 么 
ME? ce, KACAR REEE; BAA 
面 ， 毕 葛 它 只 是 一 门 语言 ， 跟 英语 一 样 ， 熟 能 


I 


我 们 一 般 的 工作 中 与 汇编 打交道 的 机 会 并 不 
多 ， 如 采 不 刻意 练习 ， 陡 然 面 对 时 必然 掌握 不 


了 ， 所 以 会 觉得 它 很 难 。 不 过 归根 到 展 还 是 投入 
的 时 间 和 精力 是 否 足 够 的 问题 一 好 了 ，iOS 逆 加 
工程 给 学 习 ARM 让 编 近 供 了 一 个 绝 住 的 条 件 一 一 
在 地 同一 个 功能 时 ， 往 往 需要 分 析 大 量 ARM 汇 编 
代码 ， 并 把 它们 翻 详 成 刷 级 语言 ， 试 图 重 莉 实现 
这 个 功能 ;虽然 暂时 还 不 需要 写 汇 编 代 码 ， 但 大 
量 的 阅读 必然 能 加 深 我 们 对 这 门 语言 的 理解 。 如 
REISE H LIX RE Exe RA, ARMI 
ED RS a, he RS SRA H 
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母 和 音标 ;指令 相当 于 单词 ， 它 们 的 变种 相当 于 
单词 的 各 种 形态 ; 调用 规则 相当 于 语法 ， 定 义 句 
子 之 间 的 联系 。 接 下 来 ， 让 我 们 一 步 步 地 深入 。 


6.1.1 基本 概念 


如 果 要 完整 地 介绍 ARM 汇 编 ，ARM 公 司 的 用 
户 手 册 已 经 做 得 足够 好 了 。 笔 者 对 ARM 汇 编 也 只 
是 略 知 一 二 ， 肯 定 没 有 用 户 手 册 那 么 全 面 ， 但 对 
于 iOS 逆 向 工程 初学 者 来 说 ， 这 些 知 识 足以 应 对 ， 
适度 就 好 。 随 着 iPhone 5s 的 推出 ， 苹 果 引 入 了 性 
能 强大 的 64 位 处 理 器 ， 但 本 书 前 半 部 分 介绍 的 大 
多 数 工 具 对 64 位 处 理 怖 的 文 持 都 不 太 好 ， 因 此 后 
半 部 分 的 内 容 仍 以 32 位 处 理 器 为 准 ， 但 思路 是 通 
用 的 。 


Lay ff an > ATPASE 


在 高 级 语言 ， 如 Objective-C、C 和 C++ 里 ， 操 
作对 象 是 变量 ; 在 ARM 汇 编 里 ， 操 作对 象 是 寄存 
ax (register) 、 内 存 和 栈 (stack) 。 其 中 ， 寄 存 
和合 可 以 看 成 CPU 目 市 的 要 量 ， 它 们 的 数量 一 般 是 


很 有 限 的 ;， 当 需要 更 多 变量 时 ， 束 可 以 把 它们 存 
放 在 内 存 中 ; 不 过 ， 数 量 上 去 了 ， 质 量 也 下 来 
了 ， 对 和 内存 的 操作 比 对 寄存 天 的 操作 要 慢 得 多 。 


栈 其 实 也 是 一 片 内 存 区 域 ， 但 它 具 有 栈 的 特 
点 : 先进 后 出 。ARM 的 栈 是 满 递 减 (Full 
Descending) 的 ， 癌 下 增长 ， 也 就 是 开口 朝 下 ， 
新 的 变量 被 存放 到 栈 底 的 位 置 ， 越 靠近 栈 克 ， 内 
存 地 址 越 小 ， 如 图 6-1 所 示 。 


Address 


SP 4 16 
SP + 12 
SP +8 


SP +4 


i 
C Objetcts 


图 6-1 ARM 的 栈 


一 个 名 为 “stack pointer” (ERSP) 的 寄存 屁 
人 和 存 栈 的 栈 压 地 址 ， 称 为 栈 地 址 ， 可 以 把 一 个 变 
量 给 入 (push) 栈 以 保存 它 的 值 ， 也 可 以 让 它 出 


(pop) 栈 ， 恢 复 变量 的 原始 值 。 在 实际 操作 中 ， 
栈 地 址 会 不 断 变化 ， 但 是 在 执行 一 块 代码 的 前 
后 ， 栈 地 址 应 该 是 不 变 的 ， 不 然 程 序 承 要 出 问题 
Y SDA? Ss Hla a FP: 


static int global var0; 
static int global vari; 


void foo(void) 


bar 


(); 
// 其 他 操作 ; 


j 
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B、C、D 四 个 寄存 器 ; foo0 内 部 调用 了 bar0， 假 
设 bar0 用 到 了 A、B、C 三 个 寄存 器 。 因 为 2 个 不 同 
的 函数 用 到 了 3 个 相同 的 寄存 古 ， 所 以 bar0 在 开始 
执行 前 需要 将 3 个 寄存 器 中 原来 的 值 入 栈 以 保存 其 
原始 值 ， 在 结束 执行 前 将 它们 出 栈 以 恢复 其 原始 


值 ， 傈 证 foo0 能 够 正 种 执行。 用 伪 汇 编 代 码 表示 
AI P: 


// foo()ERZX 


foo: 
// 将 A、B、C、D 入 栈 ， 保 存 它 们 的 原始 值 
入 栈 {A, B, C, Dj 


// 使 用 A ~ D 

移动 A, #1 //A=1 

移动 B, #2 //B=2 

移动 C, #3 // 你 猜 猜 这 行 是 什么 意思 ? 
调用 bar 


移动 D，global_varg 


// global var1 =A+B+C+D 

相 加 A, B // A = A + B， 注 意 此 处 A 的 值 

相 加 A, C // A = A + C， 还 要 注意 此 处 A 的 值 
相 加 A, D // 你 再 猜 猜 这 行 是 什么 意思 ? 

移动 global vari, A 

// 将 A、B、C、D 出 栈 ,恢复 它们 的 原始 值 


出 栈 {A-D} 
返回 
// bar () RX 


bar: 
// 将 A、B、C 入 栈 ， 保 存 它们 的 原始 值 A == 1, B == 2, C == 3 
入 栈 {A-C} 
// 使 用 A ~ C 
移动 A, #2 // 还 需要 注释 吗 ? 
移动 B, 45 
移动 C，A 
相 加 C, B ZI 7 
// global varO = A + B + C (== 2 * C) 
相 加 C, C 
移动 global var6, C //A=2,B=5,C=14 
// 现在 你 知道 入 栈 和 出 栈 的 重要 意义 了 吗 ? 
出 栈 {A-C} 


返回 


何 早 解释 一 下 这 上段 伪 代 码 : fooQ2C REA `B > 
C 分 别 设置 为 1、2、3， 然 后 调用 bar()，bar0) 改 变 
了 A、B、C 的 值 ， 并 将 全 局 变量 global_var0 的 值 
设置 为 ABC 三 者 之 和 。 如 果 把 此 时 的 A、B、C 直 
接 用 于 foo0， 计 算出 的 另 一 个 全 局 变量 
global var1B EM EtA, DU fEbarOT417 Bil 2c 
要 计 A、B、C 入 栈 ， 保 存 它们 的 值 ， 执 行 完成 后 
再 出 栈 ， 使 得 foo() 能 够 得 到 正确 的 global_varl 。 
注意 一 点 ， 出 于 同样 的 目的 ，foo0 在 执行 前 后 也 
对 A、B、C、D 执 行 了 入 栈 和 出 栈 操作 ， 所 以 
foo() 的 调用 者 也 能 够 正常 工作 。 


2 FER FB SEES 


ARMADP Es PAIERO Si an BBA, UH 
RATA: 


RO-R3 传递 参数 与 返回 值 

R7 帧 指针 ， 指 同 母 画 数 与 被 调用 子 函 数 在 栈 中 的 交界 
R9 Fios 3.0 以 前 被 系统 保留 

R12 内 部 过 程 调用 寄存 器 ，dynamic 1Linker 会 用 到 它 
R13 SP 寄存 器 

R14 LR 寄 存 器 ， 保 存 函 数 返 回 地 址 

R15 PCA Fas 


因为 现在 还 没有 开始 目 己 写 汇 编 代 码 ， 所 以 
WY EWAN RE T AEE To 


3.5] SBE S AREAL 


Ass HY “program counter” (fal KPC) 
Way as ERR Rta SAH ° ATL 
下 ， 计 算 机 一 条 接 一 条 地 顺序 执行 指令 ， 处 理 器 
执行 完 一 条 指令 后 将 PC 加 1， 让 它 指 向 下 一 条 指 
令 ， 如 图 6-2 所 示 。 


处 理 絮 顺序 执行 指令 1 到 指令 5， 稀 松平 常 、 
沉闷 无 聊 。 但 是 如 果 把 PC 的 值 变 一 变 ， 指 令 的 执 


行 顺序 就 完全 不 同 了 ， 如 图 6-3 所 示 。 


令 的 执行 顺序 被 打 乱 ， 变 成 指令 1、 指 令 
5、 指 令 4、 指 令 2、 指 令 3、 指 令 6， 光 怪 陆 离 、 百 
花 齐 放 。 这 种 “ 乱 序 ? 的 学 名 叫 “ 分 支 ” (branch) , 
或 者 “ 跳 转 ”(jump) ， 它 使 循环 和 subroutine 成 为 
可 能 ， 例 如 : 


// endless() HX 

endless: 
操作 操作 数 1， 操作 数 2 
分 文 endless 


返回 // 死 循环 ， 执 行 不 到 这 里 啦 ! 


在 实际 情况 中 ， 满 足 一 定 条 件 才 得 以 触发 的 
DISCERN, JUPE AT SCHO ZR TE AT ° if else 
fFlwhilefizi Ji FR FAT SC SEERA ° EARM 
中 ， 分 文 的 条 件 一 般 有 4 种 : 


操作 结果 为 0 (或 不 为 0) ; 


-操作 结 末 为 负数 ; 


-操作 结 末 有 进位 ; 


:运算 洲 出 (比如 两 个 正 数 相 加 得 到 的 数 超过 
了 寄存 万 位 数 ) 。 


Address 


0x1 


0x2 


0x3 


0x4 


0x5 


图 6-2 


PC 


Instruction 
0x2 
l 
Instruction 
0x3 
2 
Instruction 
2 0x4 
pi | 
Instruction 
0x5 
4 
Instruction 
0x6 
5 
顺序 执行 指令 


Address PC 


Instruction : 
Ox] | 0x5 


[nstruction 


0x2 0x3 
2 
Instruction 
0x3 0x6 
3 
Instruction 
0x4 0x2 
" Instruction 
0x5 , 0x4 


图 6-3 乱 序 执行 指令 


这 些 条 件 的 判断 准则 (flag) 存放 在 程序 状态 
寄存 器 (Program Status Register, PSR) 中 ， 数 据 
处 理 相 关 指 令 会 改变 这 些 flag， 分 文 指 令 再 根据 这 


些 fag 决 定 是 否 跳 转 。 FERRER T Ae 
forf& E^: 


for: 
相 加 A, #1 


比较 A, #16 
不 为 6 则 跳 转 到 for 
此 循环 将 A 和 #16 作 比较 ， 如 果 两 者 不 相等 ， 
则 将 A 加 1， 继 续 比 较 。 如 果 两 首相 等 ， 则 不 再 循 
环 ， 继 续 往 下 执行 。 


6.1.2 ARM/THUMB 指 令 解 读 


ARM/AP SESS FH SUB fa $847 7J ARMAR 
THUMB; ARMS CK EL A 32bit, THUMB 
指令 长 度 均 为 16bit。 所 有 指令 可 大 致 分 为 3 类， 分 
别 是 数据 操作 指令 、 内 存 操作 指令 和 分 文 指令 。 


1. 数 据 操作 指令 
数据 操作 指令 有 以 下 2 条 规则 : 
1) 所 有 操作 数 均 为 32bit; 


2) 所 有 结果 均 为 32bit， 且 只 能 存放 在 寄存 器 
中 。 


总 的 来 说 ， 数 据 操 作 指令 的 基本 格式 是 : 
op{cond}{s} Rd, Rn, Op2 


其 中 ,，“cond” 和 “s” 是 两 个 可 选 后 
级 ;“cond” 的 作用 是 指定 指令 “op”* 在 什么 条 件 下 
执行 ， 共 有 下 面 17 种 条 件 : 


EQ 结果 为 0 (EQual to 0) 
NE 结果 不 为 0 (Not Equal to 0) 
CS 有 进位 或 借 位 (Carry Set) 


HS 同 CS (unsigned Higher or Same) 


没有 进位 或 借 位 (Carry clear) 

同 CC (unsigned LOwer) 

结果 小 于 0 (MInus) 

结果 大 于 等 于 9 (PLus) 

oVerflow Set) 

(oVerflow Clear) 

无 符号 比较 大 于 (unsigned HIgher) 

无 符号 比较 小 于 等 于 (unsigned Lower or Same) 
有 符号 比较 大 于 等 于 (signed Greater than or 


有 符号 比较 小 于 (signed Less Than) 

有 符号 比较 大 于 (signed Greater Than) 

无 符号 比较 小 于 等 于 (signed Less than or Equal) 
无 条 件 (ALways, EA) 


“cond> 的 用 法 很 冯 单 ， 例 如 : 


比较 RO, R1 
移动 GE R2, RO 
移动 LT R2, R1 


比较 RO 和 R1 的 值 ， 如 果 R0 大 于 等 于 R1， 则 
R2=R0; AIMR2=R1 ° 


“SIE EME“ op'xtrixHfag, Jt 


有 下 面 4 种 flag: 


N (Negative) 


如 果 结 


小 3 


oll, 


TEO; 


Z (Zero) 


如 


结果 是 0 则 置 1， 否 则 置 0; 


C (Carry) 
对 于 加 操作 (包括 CMN) 来 说 ， 如 果 产 生 进 位 则 置 1， 否 则 置 06， 对 于 城 操 作 (包括 


CMP 


) 来 说 ，Carry 相 当 于 Not -Borrow， 如 果 产 生 借 位 则 置 0， 否 则 置 1;， 对 于 有 


EH EUH RARE, C 置 移出 值 的 最 后 一 位 ; 对 于 其 他 的 非 加 / 减 操 作 来 


说 ， 


C 的 值 一 般 不 变 


V (oVerflow) 


如 采 操 作 导 致 溢出 ， 则 置 1， 否 则 置 0。 


需要 注意 一 点 ，C flag 表 示 无 符号 数 运算 结果 


fud V flag A ^j TRUS HR. Re Bi 


K 


B 
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:算术 操作 


RO, R1, R2 ; RO = R1 + R2 

RO, R1, R2 ; RO = R1 + R2 + C(arry) 
RO, R1, R2 ; RO = R1 - R2 

RO, R1, R2 ; RO = R1 - R2 - IC 

RO, R1, R2 ; RO = R2 - R1 

RO, R1, R2 ; RO-R2- RÀ - !C 


算术 操作 中 ，ADD 和 SUB 为 基础 操作 ， 其 他 
均 为 两 者 的 变种 。RSB 是 “Reverse SuB” 的 缩写 ， 
仅仅 是 把 SUB 的 两 个 操作 数 调 换 了 位 置 而 已 ; 
以 “C”( 即 Carry) 结尾 的 变种 代表 有 进位 和 借 位 
的 加 减法 ， 当 产生 进位 或 没有 借 位 时 ， 将 Carry 
flag &1 。 


M E, LE! 

E TERRE 
AND RO, R1, R2 ; RO = R1 & R2 
ORR RO, Ri, R2 ; RO = R1 | R2 
EOR RO, R1, R2 ; RO-R1^ R2 
BIC RO, R1, R2 ; RO = R1 &- R2 
MOV RO, R2 ; RO - R2 
MVN RO, R2 ; RO - -R2 


逻辑 操作 指令 没什么 多 说 的 ， 它 们 的 作用 都 
已经 用 C 操 作 符 表 示 出 来 了 ， 大 家 应 该 很 熟悉 ; 
但 是 C 操 作 符 里 的 移 位 操作 并 没有 对 应 的 逻辑 操 


作 指 令 ， 因 为 ARM 采 用 了 桶 式 移 位 ， 共 有 以 下 4 
种 指令 : 


LSL 逻辑 左 移 ， 见 图 6-4 


图 6-5 HEA 


ASR 算术 右 移 ， 见 图 6-6 


图 6-6 BRA 


ROR 循环 右 移 ， 见 图 6-7 


图 6-7 循环 右 移 


-比较 操作 


CMP R1, R2 ; PUTRI - R2 并 依 结果 设置 flag 
CMN R1, R2 ; PUTRI + R2 并 依 结果 设置 flag 
TST R1, R2 ; PUTRI & R2 并 依 结果 设置 flag 
TEQ R1, R2 ; PUTRI ^ R2 并 依 结果 设置 flag 


比较 操作 其 实 葡 是 改变 flag 的 算术 操作 或 逻辑 
操作 ， 只 十 操作 绪 采 不 你 留 在 寄存 人 右 里 而 已 。 


FE ERE 


R3 * R2 
R3 * R2 + R1 


MUL R4, R3, R2 ; R4 
MLA R4, R3, R2, R1 ; RA 


RIRPRIFIIIRIE BUUR H SPESE ° 
2. 内 存 操 作 指令 
内 存 操作 指令 的 基本 格式 是: 


op{cond}{type} Rd, [Rn,?0p2] 


EPRn escheat as, FH GG 
tk; “cond” 的 作用 与 数据 操作 指令 相同 ; “type” 指 
定 指令 “op” 探 作 的 数据 类 型 ， 共 有 4 种 : 


B (unsigned Byte) 

无 符号 byte (执行 时 扩展 到 32bit， 以 9 填充 ) ; 

SB (Signed Byte) 

有 符号 byte ( 仅 用 于 LDR 指 令 ， 执 行 时 扩展 到 32bit， 以 符号 位 填充 ); 
H (unsigned Halfword) 

无 符号 halfword (执行 时 扩展 到 32bit， 以 0 填充 ) ; 

SH (Signed Halfword) 

有 符号 halfword 〈 仅 用 于 LDR 指 令 ;， 执行 时 扩展 到 32bit， 以 符号 位 填 


URD E“ type", DEALS M 


word ° 


ARM 内 存 操作 基础 指令 只 有 两 个 : LDR 
(LoaD Register) 将 数据 从 内 存 中 读 出 来 ， 存 到 
寄存 器 中 ;STR (STore Register) 将 数据 从 寄存 
需 中 读 出 来 ， 存 到 内 存 中 。 两 个 指令 的 使 用 情况 
如 下 : 


‘LDR 
LDR Rt, [Rn {, #offset}] ; Rt = *(Rn {+ offset}), {} 
代表 可 选 
LDR Rt, [Rn, #offset]! ; Rt = *(Rn + offset); Rn = 
Rn + offset 
LDR Rt, [Rn], #offset ; Rt = *Rn; Rn = Rn + offset 
‘STR 
STR Rt, [Rn {, #offset}] ; *(Rn {+ offset?) = Rt 
STR Rt, [Rn, #offset]! ; *(Rn {+ offset}) = Rt; Rn = 


Rn + offset 
STR Rt, [Rn], #offset ; *Rn = Rt; Rn = Rn + offset 


此 外 ，LDR 和 STR 的 变种 LDRD 和 STRD 还 可 
以 操作 双 字 (Doubleword) ， 即 一 次 性 操作 2 个 寄 
存 器 ， 其 基本 格式 如 下 : 


op{cond} Rt, Rt2, [Rn {, #offset}] 


其 用 法 与 原型 类 似 ， 如 下 : 


‘STRD 


STRD R4, R5, [R9,#offset] ; *(R9 + offset) = R4; * 
(R9 + offset + 4) = R5 


:LDRD 


LDRD R4, R5, [R9,#offset] ; R4 = *(R9 + offset); R5 = 
*(R9 + offset + 4) 


除了 LDR 和 STR 外 ， 还 可 以 通过 LDM (LoaD 
Multiple) 和 STM (STore Multiple) 进行 块 传 
输 ， 一 次 性 操作 多 个 寄存 全 。 块 传输 指令 的 基本 
格式 是 : 


op{cond}{mode} Rd{!}, reglist 


H PRIES FA, PAR ERIZE 
后 的 值 是 否 写 回 Rd，reglist 是 一 系列 寄存 器 ， 用 
大 括号 括 起 来 ， 它 们 之 间 可 以 用 “> 分隔 ， 也 可 以 
用 “-” 表 示 一 个 范围 ， 比 如 ，{R4-R6,R8} 和 表示 寄存 
S&RA^ R5^ R6^ R8; 这 些 寄存 器 的 顺序 是 按照 
目 身 的 编号 由 小 到 大 排列 的 ， 与 大 括号 内 的 排列 
顺序 无 关 。 


需要 特别 注意 的 是 ，LDM 和 STM 的 操作 方向 
与 LDR 和 STR 完全 相反 : LDM 是 把 从 Rd 开始 ， 地 
址 连续 的 内 存 数 据 存 入 reglist 中 ，STM 是 把 reglist 
中 的 值 存 入 从 Rd 开始 ， 地 址 连续 的 内 存 中 。 此 处 
特别 容易 混 清 ， 大 家 一 定 要 注意 ! 


“cond” 的 作用 与 数据 操作 指令 相 
同 。“mode” 指 定 Rd 值 的 4 种 变化 规律 ， 如 下 所 


— 


ZN: 


IA (Increment After) 
每 次 传输 后 增加 Rd 
IB (Increment 
每 次 传输 前 增加 Rd 
DA (Decrement 
每 次 传输 后 减少 Rd 


DB (Decrement 
每 次 传输 前 减少 Rd 


II II TI II 
EVES ROE 
ct 
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这 征 什 么 意思 呢 ? 下 面 以 LDM 为 代表 ， 举 一 
个 向 单 的 例子 ， 相 信 大 家 一 看 束 明 日 7 了。 在 图 6-8 


中 ，R0 指 回 的 信和 是 5。 


图 6-8” 块 传输 指令 模拟 环境 


执行 以 下 命令 后 ，R4、R5、R6 的 值 分 别 变 


成 : 


foo(): 


LDMIA RO, 


LDMIB RO, 


LDMDA RO, 


LDMDB RO, 


STM 指令 的 作用 方式 与 此 类 似 ， 不 再 资 述 。 


{R4 - R6) 
(R4 - R6) 
(R4 - R6) 
(R4 - R6) 


, R6 
, R6 
, R6 


, R6 


再 次 提醒 ，LDM 和 STM 的 操作 方向 与 LDR 和 STR 


完全 相反 ， 切 记 切 记 


分 文 指令 可 以 分 为 无 条 件 分 文 和 条 件 分 文 两 


e 


种 。 


ro ZN 

-无条件 分 支 

B Label ; PC = Label 

BL Label ; LR= PC - 4; PC = Label 
BX Rd ; PC = Rd 并 切换 指令 集 


无 条 件 分 文 很 创 单 ， 举 下 面 一 个 小 例子 束 会 
TRE: 


foo(): 


B Label ; 跳 转 到 Label 处 往 下 执行 
; 得 不 到 执行 


RTT AT SC 


条 件 分 支 的 cond 是 依照 6.2.1 市 提 到 的 4 种 flag 
来 判断 的 ， 它 们 的 对 应 关系 如 下 : 


Q 


yD 


OPOPOPOOPPOP 


U 
r- 
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I 
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在 条 件 分 文 指令 前 会 有 一 条 效 据 操作 指令 来 
设置 fag， 分 文 指令 根据 fag 的 值 来 决定 代码 走 
ey], 3S AP: 


Label: 
LDR RO, [R1], #4 


CMP RO, © ; 如 果 RO == 0, Z = 1; 否则 Z = 0 
BNE Label ;z-- Ol 
4. THUMBS 


THUMB 指 令 集 是 ARM 指 令 集 的 一 个 子 集 ， 
每 条 THUMB 指 令 均 为 16bit， 因 此 THUMB 指 令 比 
ARM 指 令 更 节省 空间 ， 且 在 16 位 数据 总 线 上 的 传 
输 效 率 更 高 。 有 得 必 有 失 ， 除 了 “b” 之 外 ， 所 有 
THUMB 指 令 均 无 法 条 件 执行 ， 桶 式 移 位 无 法 结 
合 其 他 指令 执行 ， 大 多 数 THUMB 指 令 只 能 使 用 
RO~R7 这 8 个 寄存 絮 等 。 相 对 于 ARM 指 令 ， 


THUMB 指 令 的 特点 如 下 : 


既然 THUMB 只 十 一 个 于 集 ， 指 令 效 量 必 然 


会 减少 。 例 如 ， 乘 法 指令 中 只 有 MUL 保 留 了 下 


来 ， 


其 他 的 都 被 精简 了 。 

:没有 条 件 执行 

除 分 支 指令 外 ， 其 他 指令 无 法 条 件 执行 。 
-所 有 指令 默认 附带 “s” 

即 所 有 THUMB 指 令 都 会 设置 flag 。 

- 桶 式 移 位 无 法 结合 其 他 指令 执行 


移 位 指令 只 能 单独 执行 ， 无 法 与 其 他 指令 绪 


合 执行 BI, 可 以 : 


LSL RO #2 


而 不 可 : 


ADD RO, R1, LSL #2 


-寄存 此 使 用 受 限 


除非 显 式 声明 ， 否 则 THUMB 指 令 只 能 使 用 
RO-R7*9fff£aà; 但 也 有 例外 : ADD、MOV 和 CMP 
和 令 可 以 将 R8~R15 作 为 控 作 数 使 用 ;， LDR 和 STR 
FY DA FAPCEXSP at fas; PUSH 可 以 使 用 LR， 
POP 可 以 使 用 PC; BX 可 以 使 用 所 有 寄存 器 。 


立即 数 和 第 二 操作 数 使 用 受 限 


大 多 数 THUMB 数 据 操 作 指 令 的 形式 征 “op 
Rd,Rm”， 只 有 移 位 指令 、ADD、SUB、MOV 和 
CMP 是 例外 。 


:不 文 持 数据 写 回 


除了 LDMIA 和 STMIA 外 ， 其 他 THUMB 指 令 
均 不 支持 数据 写 回 ， 即 “不 可 用 。 


我 们 在 iOS 逆 向 工程 初级 阶段 经 常会 页 到 以 上 
指令 ， 如 果 对 前 两 市 的 内 容 还 古 一 知 半 解 ， 没 天 
R, ACMA MER RAR I eX — TAY 
内 容 只 是 一 个 引子 ， 在 实际 操作 中 如 采 对 指令 作 
用 不 清楚 ，ARM 的 官方 文档 
http://infocenter.arm.com 永 远 是 最 好 的 教科 书 ， 
http://bbs.iosre.com 上 的 讨论 也 很 有 参考 价值 。 


6.1.3 ARM 调 用 规则 


了 解 了 常用 的 ARM 指 令 后 ， 相 信和 大 家 已 经 能 
够 基本 优异 一 个 函数 的 汇编 代码 了。 当 一 个 函数 


VaR FIP RY, i Be IS A ISI 
值 ， 如 何 传 建 这 些 数据 ， 称 为 ARM 汇 编 的 调用 规 
则 。 


Lave Said 


TEG.1.1 D $e 8], “在 执行 一 块 代码 时 ， 其 前 后 
栈 地 址 应 该 是 不 变 的 "， 这 个 操作 是 通过 被 执 行 代 
码 块 的 前 言 (prologs) 和 后 记 (epilogs) 完成 
有 的。 前 言 所 做 的 工作 主要 有 : 


-将 LR 入 栈 ; 
.将 R7 入 栈 ; 
:'R7SSP; 


ORE Fig ee PR ER AY) SEE ni Jr UB TELA B 


:为 本 地 变量 开辟 至 间 。 


后 记 所 做 的 主要 工作 跟前 言 正 好 相反 


-释放 本 地 变量 占用 的 空间 ; 


ORE i ee PR Be EP) By FF ae ER AE i T; 


.将 R7 出 栈 ; 


.将 LR 出 栈 ，PC=LR ° 


前 言 和 后 记 中 的 这 些 工 作 并 不 是 必须 的 ， 如 
东 这 块 代 码 讨 根 儿 束 没有 用 到 栈 ， 殉 不 需要 “保留 
寄存 天 原始 值 ” 这 一 步 了 。 在 迎风 工程 中 ， 前 言 与 
后 记 的 影响 主要 体现 在 SP 的 变化 上 ， 此 处 稍 作 了 
解 即 可 ， 第 10 章 的 例子 中 会 有 详细 的 解答 。 


2.1 BSB eME 


如 末 想 详细 了 人 解 参 数 传递 规则 ， 可 以 通读 
http://infocenter.arm.com/help/topic/com.arm.doc.ihi 
0042e/IHIO042E aapcs.pdf 。 一 般 情 况 下 ， 记 住 最 
重要 的 一 个 金 句 就 好 : 


“函数 的 前 4 个 参数 存放 在 R0 到 R3 中 ， 其 他 参 
数 存 放 在 栈 中 ; 返回 值 放 在 RO 中 。” 


这 人 句 话 的 意思 很 好 理解 ， 为 了 加 深 印 象 ， 下 
面 看 一 个 例子 : 


// clang -arch armv7 -isysroot ~xcrun --sdk iphoneos --show- 
sdk-path' -o MainBinary main.m 

#include <stdio.h> 

int main(int argc, char **argv) 


printf("%d, 96d, %d, %d, %d", 1, 2, 3, 4, 5); 
return 6; 


j 


把 这 上 段 代 码 存 成 名 为 main.m 的 文件 ， 用 注释 
里 的 那 句 话 编 译 它 ， 然 后 把 MainBinary 邱 进 
IDA， 生 成 的 main 汇 编 代 码 如 图 6-9 所 示 。 


“BLX_printf” 执 行 printf 函 数 ， 它 的 6 个 参数 分 
别 存 放 在 RO0、R1、R2、R3、[SP,#0x20+var_20] 和 
[SB#0x20+var_1C] 中 ， 返 回 值 存放 在 RO 里 ， 其 中 
Var_20=-0x20，var_1C=-0x1C， 因 此 栈 上 的 2 个 参 
数 分 别 位 于 [SP] 和 [SP#0Ox4] ° 


还 需要 更 多 解释 吗 ? 


“ 国 数 的 前 4 个 参数 存放 在 R0 到 R3 中 ， 其 他 参 
数 存 放 在 栈 中 ;返回 值 放 在 RO 中 。” 


— FE AP Ea | 


ZH FiOS [n] Lf HH SUB s AR) 
ARM 汇 编 知识 过 了 一 人 裔 ， 难 免 有 遗漏 ， 但 说 日 
了 ， 只 要 记 住 刚才 的 “ 金 句 *"， 配 合 ARM 官 方 网 
站 ， 束 已 经 可 以 开始 分 析 程 序 了 。 接 下 来 ， 束 来 
实际 动手 ， 看 看 如 何 把 刚刚 学 到 的 知识 运用 到 iOS 
逆向 工程 中 。 


(R4,R5,R7,LR) 

R7, SP, #8 
SP, #0x18 
#(aDDDDD - OxBF6A) ; "1d, $d, td, td, 1d" 
PC ; "td, td, td, td, id" 


[SP, #0x20+var C] 
[SP, #0x20+var 10] 
(SP, #0x20+var 14] 
R2 ; char * 

R3 

R9 

R12 

[SP, #0x20+var 20] 


(SP, #0x20+var 18] 
Rl 


SP, #0x18 
{R4,R5,R7,PC} 
End of function main 


; _ text ends 


图 6-9_main 的 汇编 代码 


6.2 ”tweak 的 编写 套路 


在 第 5 章 的 *tweak 的 编写 套路 "一世 里 ， 归 纳 
总结 了 5 个 步 台 ,分 别 是 寻找 灵感 、 定 位 目标 文 
fF > FEAL ena > WAN BE, LAR RAT EK 
BBR o KEE Reza, (BELA Nee XX 
DREIT BJZK A3 AK AK——FE class-dump #4 XC fF 
里 搜索 日 己 感 兴 趣 的 天 键 词 ， 可 以 称 为 “定位 目标 
BONS? 非 也 。 


一 段 情况 下 ， 一 个 软件 之 所 以 能 引起 我 们 的 
ME, IEDR: 功能 和 数据 。 如 采 发 现 了 
目 己 感 兴趣 的 功能 ， 但 class-dump 的 头 文件 里 找 不 
BA] REN KET], RAI? 如 末 看 到 了 目 己 感 兴 
趣 的 数据 ， 我 们 该 直 么 去 寻找 它 的 生成 算法 ? 对 


HL, class-dump ~ AIARA ° AE, class- 
dump 及 关键 词 搜索 的 方式 只 是 “定位 目标 函数 ”中 
的 一 种 情况 ， 不 能 以 偏 概 全 。 那 么 针对 更 普遍 的 
情况 ， 该 怎么 定位 目标 函数 呢 ? 


我 们 感 兴趣 的 功能 和 数据 ， 都 是 以 软件 中 产 
生 的 某 种 现象 为 形式 ， 直 观 地 呈现 在 我 们 面前 
的 ， 我 们 能 看 到 、 感 受到 。 例 如 ， 图 6-10 所 示 的 
是 邮件 应 用 (以 下 简称 Mail) ， 右 下 角 的 那个 书 
写 图 标 代表 了 “编写 邮件 ”功能 ， 图 6-11 所 示 的 是 
设置 应 用 中 的 电话 设置 (以 下 简称 
MobilePhoneSettings) ， 第 一 个 cell 中 的 内 容 代 表 
了 “本 机 号 码 ” 数 据 。 功 能 是 由 函数 提供 的 ， 数 据 
是 由 汞 数 生成 的 ， 也 就 是 说 ， 外 在 现象 的 内 在 本 
质 ， 其 实 是 函 效 。 所 以 ,“ 定 位 目标 函数 ”实际 上 


如 何 从 我 们 感 兴 趣 的 外 在 现象 ， 定 位 到 其 内 在 


FE 
EA ANAT ° 


eeecc 中 国联 通 3G 12:08 


Mailboxes 


C] All Inboxes 


EA Gmail 


Updated 2 minutes ago E 


图 6-10 Mail 


eeeeo 中 国联 通 3G 15:14 


€ Settings Phone 


My Number +86 bbs.iosre.com 


Contact Photos in Favorites « ) 


CALLS 


Respond with Text 
Call Forwarding 
Call Waiting 

Show My Caller ID 


Blocked 


Dial Assist 


图 6-11 MobilePhoneSettings 


面 对 这 样 的 需求 ，class-dump 明 显 已 经 不 够 用 
了 。 好 在 我 们 现在 了 解 了 Cycript、IDA、LLDB 的 


基本 用 法 ， 对 ARM 让 编 也 有 了 初步 印象 ， 有 了 它 
们 的 辅助 , “定位 目标 函数 ” 变 得 有 规律 可 循 了 。 
iOS 上 最 常见 的 是 一 个 个 App， 我 们 对 这 种 类 型 的 
文件 也 最 熟悉 ， 把 它们 作为 初学 阶段 的 练习 对 和 象 

合适 不 过 了 。 接 下 来 ， 殉 以 App 为 目标 ， 用 
ARMJL 29825 A!) AH [8] LIE ee" XE DE EU PRER ICA 
T, 9RÍLtweakBJZg 5 EEK o 


62.1 ”从 现象 切入 App， 找 出 UI 函数 


对 于 App 来 说 ， 我 们 感 兴趣 的 现象 往往 体现 
TEULE, UU&zn T KAATER ^ KHA 
TIULZ.IRIBJJS EXE S Zum. QU BASE EUER HJ 
UTR, mL RIDES PD NBJE Tfl RIA 
函数 为 UI 函 数 。 这 个 过 程 ， 一 般 是 利用 Cycript， 
结合 UIView 中 的 神奇 私有 函数 recursiveDescription 


和 UIResponder 中 BEEN 。 下面 
完 以 Mail 为 例 讲解 过 程 ， 然 后 把 忌 结 出 来 的 方法 
用 在 MobilePhoneSettings 上 加深 印象 。 这 部 分 内 
容 是 在 iPhone 5, iOS 8.1 中 完成 的 。 


1. 用 Cycript 注 入 Mail 


先 用 dumpdecrypted 小 方 中 提 及 的 技巧 ， 定 位 
Mail 的 进程 名 并 注入 ， 命 令 如 下 : 


FunMaker-5:~ root# ps -e | grep /Applications 

363 ?? 0:06.94 
/Applications/MobileMail.app/MobileMail 

596 ?? 0:01.50 
/Applications/MessagesNotificationViewService.app/MessagesNo 
tificationViewService 

623 ?? 0:08.50 
/Applications/InCallService.app/InCallService 

713 ttys000 0:00.01 grep /Applications 
FunMaker-5:- root# cycript -p MobileMail 


2. 查 看 当前 界面 的 UI 层次 结构 ， 定 位 “编写 邮 
amie aia 


UIView 中 的 私有 函数 recursiveDescription 可 以 
退回 这 个 view 的 UI 层 次 结构 。 一 般 来 说 ， 当 前 界 
面 是 由 至 少 一 个 UIWindow 构 成 的 ， 而 UIWindow 
继承 和 目 UIView， 因 此 可 以 利用 这 个 私有 函数 来 公 
看 当前 界面 的 UI 层次 结构 。 它 的 用 法 如 下 : 


cy# ?expand 
expand == true 


首先 执行 Cycript 的 ?expand 命 令 开 局 expand 功 
能 ，Cycript 会 把 格式 符号 翻译 成 相应 的 格式 ， 
如 “%n” 会 被 翻译 成 一 个 换行 ， 让 和 输出 的 可 读 性 更 
局 。 接 着 输入 如 下 命令 : 


cy# [[UIApp keyWindow] recursiveDescription] 


UIAppz[UIA pplication sharedApplication]H*) 
简写 ， 两 痢 等 价 。 调 用 上 面 的 方法 即 可 打印 
keyWindow 有 的 视图 结构 ， 输 出 类 似 下 面 的 信息 : 


Q"«UIWindow: 0x14587a70; frame = (0 0; 320 568); 
gestureRecognizers = «NSArray: 0x147166b0>; layer = 
<UIWindowLayer: 0x14587e30>> 

| <UIView: 0x146e6180; frame = (0 0; 320 568); autoresize 
= W+H; gestureRecognizers = <NSArray: 0x146e98d0>; layer = 
<CALayer: 0x146e61f0>> 

| | «UIView: 0x146e5f60; frame = (© 0; 320 568); layer 
= «CALayer: 0x1460ec40>> 

| | | « MFActorItemView: 0x14506a30; frame = (0 0; 
320 568); layer = <CALayer: 0x14506c10>> 

| | | | «UIView: 0x145074b0; frame = (-0.5 -0.5; 
321 569); alpha = 0; layer = <CALayer: 0x14507520>> 

| | | | « MFActorSnapshotView: 0x14506f70; 
baseClass = UISnapshotView; frame = (0 0; 320 568); 
clipsToBounds = YES; hidden = YES; layer = <CALayer: 
0x145071c0>> 

| | <MFTiltedTabView: Oxi46ei1af0; frame = (0 0; 320 
568); userInteractionEnabled = NO; gestureRecognizers = 
«NSArray: 0x146f2dd0>; layer = <CALayer: 0x146e1d50>> 

| | | «UIScrollView: 0x146bfa90; frame = (0 0; 320 
568); gestureRecognizers = «NSArray: 0x146e1e90»; layer = 
«CALayer: 0x146c8740»5; contentOffset: (0, 0}; contentSize: 
(320, 77.5)» 

| | | « TabcradientView: 0x146e7010; frame = (-320 
-508; 960 568); alpha - 0; userInteractionEnabled - NO; 
layer = <CAGradientLayer: 0x146e7d80>> 

| | | «UIView: 0x146e29c0; frame = (-10000 568; 
10320 10000); layer = «CALayer: 0x146e2a30>>" 


keyWindow 的 每 个 subview 及 二 级 subview 的 
description 会 被 完整 展示 在 <..……..> 里 ， 包 括 每 个 
view 对 象 在 内 存 中 的 地 址 ， 以 及 它 的 坐标 、 尺 寸 
等 基本 信息 。 其 中 ， 缩 进 的 多 少 体现 了 视图 间 的 
天 系 ， 同 一 缩 进 量 的 视图 是 平 级 的 ， 如 最 下 面 的 
UIScrollView ` TabGradientView/£ UIView; 2183 
少 的 视图 是 缩 进 多 的 视图 的 superview， 如 
UIScrollView ^. TabGradientViewTIUIView Abe 
MFTiltedTabViewHJsubview ° 通过 Cycript 的 人 #” 探 
作 符 ， 就 可 以 拿 到 这 个 window 上 的 任意 view， 

VE 


cy# tabView = #0x146e1afO 

#"<MFTiltedTabView: 0x146e1af0; frame = (0 0; 320 568); 
userInteractionEnabled = NO; gestureRecognizers = <NSArray: 
Ox146f2dd0>; layer = <CALayer: 0x146e1d50>>" 


当然 ， 也 可 以 通过 UIApplication 和 UIView 的 
其 他 方法 ， 获 取 我 们 感 兴趣 的 其 他 view， 如 : 


cy# [UIApp windows] 

@[#"<UIWindow: 0x14587a70; frame = (0 0; 320 568); 
gestureRecognizers = «NSArray: 0x147166b0>; layer = 
«UIWindowLayer: 0x14587e30>>",#"<UITextEffectswindow: 
0x15850570; frame = (0 0; 320 568); opaque = NO; 
gestureRecognizers = «NSArray: 0x147503e0>; layer = 
«UIWindowLayer: 0x1474ff10>>" | 


上 面 的 代码 可 以 拿 惠 这 个 App 的 所 有 


window: 


cy# [#0x146e1afO subviews] 

@[#"<UIScrollView: 0x146bfa90; frame = (© 0; 320 568); 
gestureRecognizers = <NSArray: 0x146e1e90>; layer = 
«CALayer: 0x146c8740>; contentOffset: (0, 0}; contentSize: 
(320, 77.5}>",#"<_TabGradientView: 0x146e7010; frame = (-320 
-508; 960 568); alpha = 0; userInteractionEnabled = NO; 
layer = <CAGradientLayer: 0x146e7d80>>", #"<UIView: 
0x146e29cO; frame = (-10000 568; 10320 10000); layer = 
«CALayer: 0x146e2a30>>" ] 

Cy# [40x146e29cO superview] 

#"<MFTiltedTabView: Ox146ediaf0; frame = (0 0; 320 568); 
userInteractionEnabled - NO; gestureRecognizers - «NSArray: 
Ox146f2dd0>; layer = <CALayer: 0x146e1d50>>" 


上 面 的 代码 可 以 拿 惠 subview 和 superview。 忆 
, BAA AILS HA, BOA AS BIULL IE 
意 view， 为 下 一 步 操 作 葛 定 基础 。 


要 定位 “编写 邮件 ”按钮 ， 束 要 寻找 与 这 个 按 
钮 相关 的 控件 。 对 此 ， 一 般 采 用 的 方法 是 排 得 
法 ， 对 于 形 如 <UIView: viewAddress;...> 的 view 
来 说 ， 对 其 逐个 调用 [#wiewAddress 
setHidden:YES] 范 数 ，UI 上 消失 的 那个 控件 就 可 
以 跟 它 对 应 起 来 。 当 然 ， 一 些小 技巧 可 以 加 快 排 
得 的 速度 一 一 因为 这 个 按钮 的 左边 是 上 下 两 排 
字 ， 上 所 以 可 以 猜测 ， 这 个 按钮 跟 两 排 字 是 共用 一 
个 superview 的 ， 如 果 找 到 这 个 superview， 那 么 只 
排查 这 个 superview 的 subview 就 好 了 ， 减 少 了 工作 
量 。 因 为 文字 一 般 是 会 出 现在 description 里 的 ， 所 


LJ n f£recursiveDescription H 1€ 22 *3 Unsent 
Messages", Jl FP: 


| | | | | | | | 
<MailStatusUpdateView: 0x146e6060; frame = (0 0; 182 44); 
Opaque = NO; autoresize = W+H; layer = <CALayer: 
0x146c8840>> 

| | | | | | | | | <UILabel: 
0x14609610; frame = (40 21.5; 102 13.5); text = '3 Unsent 
Messages'; opaque = NO; userInteractionEnabled = NO; layer = 
<_UILabelLayer: 0x146097f0>> 


从 而 获取 到 它 的 superview， 即 
MailStatusUpdateView ° WRITE 
MailStatusUpdateView 的 一 个 subview， 那 么 通过 
Val FHsetHidden: A aX ES je MailStatusUpdateView , 
Tg AES °C Rave: 


cy# [#0x146e6060 setHidden:YES] 


执行 之 后 ， 发 现 两 排 字 被 隐藏 了 了 ， 而 按钮 没 
AE, AUE6-129TZR ° 
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这 说 明 MailStatusUpdateView 的 级 别 低 于 或 者 
等 于 按钮 所 在 的 view， 对 吧 ? 因此， 接 下 来 要 做 
的 束 是 排查 MailStatus Update ViewH‘Jsuperview ° 
从 recursiveDescription 可 知 ， 它 的 superview 是 


MailStatusBarView， 如 下 : 


| | | | | | | <MailStatusBarView: 
0x146c4110; frame = (69 0; 182 44); opaque = NO; autoresize 
= BM; layer = «CALayer: 0x146f9f90>> 

| | | | | | | | 
«MailStatusUpdateView: 0x146e6060; frame = (0 0; 182 44); 
opaque = NO; autoresize = W+H; layer = «CALayer: 
0x146c8840>> 


WEWE, BARHAN, WF: 


cy# [#0x146e6060 setHidden:NO] 
cy# [#0x146c4110 setHidden:YES] 


SER RAPE, PES Sg. Fee Ee 
IHE, WHH MailStatusBar ViewH 20 5! (494 


不 够 高 ， 继 续 找 它 的 superview， 即 UIToolBar， 如 
下 : 


| | | | | | «UIToolbar: 0x146f62a0; frame 
= (0 524; 320 44); opaque = NO; autoresize = W+TM; layer = 
«CALayer: 0x146f6420>> 

| | | | | | | <_UIToolbarBackground: 
0x14607ed0; frame - (0 0; 320 44); autoresize - W; 
userInteractionEnabled = NO; layer = <CALayer: 0x14607d40>> 

| | | | | | | | <_UIBackdropView: 
0x15829590; frame - (0 0; 320 44); opaque - NO; autoresize - 
W+H; userInteractionEnabled = NO; layer = 
<_UIBackdropViewLayer: 0x158297e0>> 

| | | | | | | | | 
<_UIBackdropEffectView: 0x14509020; frame = (0 0; 320 44); 
clipsToBounds = YES; opaque = NO; autoresize = W-*H; 
userInteractionEnabled = NO; layer = <CABackdropLayer: 
0x145a68d0>> 

| | | | | | | | | <UIView: 
0x147335c0; frame = (© 0; 320 44); hidden = YES; opaque = 
NO; autoresize = W+H; userInteractionEnabled = NO; layer = 
<CALayer: 0x145f3ab0>> 

| | | | | | | «UIImageView: 0x14725730; 
frame = (0 -0.5; 320 0.5); autoresize = W+BM; 
userInteractionEnabled = NO; layer = <CALayer: 0x1472be40>> 

| | | | | | | «MailStatusBarView: 
0x146c4110; frame = (69 0; 182 44); opaque = NO; autoresize 
= BM; layer = «CALayer: 0x146f9f90>> 


模仿 之 前 的 控 作 ， 隐 着 UIToolBar， 命 令 如 


ET 


cy# [#0x146c4110 setHidden:NO] 
cy# [#0x146f62a0 setHidden: YES] 


效果 如 图 6-13 所 示 。 
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此 时 ， 按 钮 被 隐 闫 了， 说 明 按 钮 是 这 个 
UIToolBar 的 一 个 subview。 在 这 个 UIToolBar 的 
subview € [fj Sikir 8 "button" 5E FERJview, TRA 


易 束 定位 到 了 UIToolbarButton， 如 下 : 


| | | | | | | «MailStatusBarView: 
0x146c4110; frame = (69 0; 182 44); opaque = NO; autoresize 
= BM; layer = «CALayer: 0x146f9f90>> 

| | | | | | | | 
<MailStatusUpdateView: 0x146e6060; frame = (0 0; 182 44); 
Opaque = NO; autoresize = WtH; layer = <CALayer: 
0x146c8840>> 

| | | | | | | | | <UILabel: 
0x14609610; frame = (40 21.5; 102 13.5); text = '3 Unsent 
Messages'; opaque = NO; userInteractionEnabled = NO; layer = 
<_UILabelLayer: 0x146097f0>> 

| | | | | | | | | <UILabel: 
0Ox145f3020; frame = (43 8; 96.5 13.5); text = 'Updated Just 
Now'; opaque - NO; userInteractionEnabled - NO; layer - 
<_UILabelLayer: 0x145f2e50>> 

| | | | | | | <UIToolbarButton: 
0x14798410; frame = (285 0; 23 44); opaque = NO; 
gestureRecognizers = <NSArray: 0x14799510>; layer = 
<CALayer: 0x14798510>> 


下 面 看 看 它 征 不 是 “编写 邮件 ” 核 钮 ， 售 令 如 
下 : 


Cy# [#0x146f62a0 setHidden:NO] 
cy# [#0x14798410 setHidden:YES] 
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至 此 ， 我 们 成 功 定位 到 了 “编写 邮件 ”按钮 ， 


它 的 description 古 <UIToolbarButton: 


0x14798410;frame- 

(2850;2344);opaque- NO;gestureRecognizers- 
«NSArray: 0x14799510>;layer=<CALayer: 
0x14798510>>。 接 下 来 要 找 出 它 的 UI 函 数 。 


3. 找 出 “编写 邮件 ”按钮 的 UI 函数 


按钮 的 UI 函数 ， 束 是 扩 击 它 之 后 的 啊 应 东 
数 。 给 UIView 对 象 加 上 响应 函数 ， 一 般 是 通过 
[UIControl addTarget:action:forControlEvents:] 实 现 
的 (笔者 还 没有 人 页 到 过 例外 ) ; 而 UIControl 提 供 
了 一 个 actionsForTarget:forControlEvent: 方 法 ， 来 
获得 这 个 UIControl 的 响应 函数 。 基 于 这 个 条 件 ， 
只 要 第 2 步 里 定位 到 的 view 是 UIControl 的 子 类 〈 笔 
者 也 还 没有 碰 到 过 例外 ) ， 束 可 以 通过 这 种 方式 


TIE AIM VERE o FABIA PAPI, eI 
操作 的 : 


cy# button = #0x14798410 

#"<UIToolbarButton: 0x14798410; frame = (285 0; 23 44); 
hidden - YES; opaque - NO; gestureRecognizers - «NSArray: 
0x14799510»; layer = «CALayer: 0x14798510>>" 

cy# [button allTargets] 

[NSSet setWithArray:@[#"<ComposeButtonItem: 0x14609d00>" | ] | 
cy# [button allControlEvents] 

64 

cy# [button actionsForTarget:#0x14609d00 forControlEvent:64] 
Q[" sendAction:withEvent:"] 


因此 ， 按 下 “编写 邮件 ”按钮 ，Mail 会 调用 
[ComposeButtonItem sendAction:withEvent], $ 
们 成 功 找到 了 它 的 啊 应 函数 。 用 Cycript 注 入 ， 定 
位 UI 控件 ， 找 出 UI 函数 ， 束 这 么 伽 蛙 。 如 果 你 还 
不 理解 ， 下 面 会 用 类 似 的 套路 分 析 


MobilePhoneSettings， 请 注意 总 结 。 


P4 


4. Fd Cycript?#= A MobilePhoneSettings 


下 面 的 操作 大 家 应 该 部 很 熟悉 了 : 


FunMaker-5:~ root# ps -e | grep /Applications 

596 ?? 0:01.50 
/Applications/MessagesNotificationViewService.app/MessagesNo 
tificationViewService 

623 ?? 0:08.55 
/Applications/InCallService.app/InCallService 

748 ?? 0:01.36 
/Applications/MobileMail.app/MobileMail 

750 ?? 0:01.82 
/Applications/Preferences.app/Preferences 

755 ttys000 0:00.01 grep /ApplicationsFunMaker -5:~ 
root# cycript -p Preferences 


tx, Fe _LSettingsAy hy H $ A 
Preferences， 下 面 会 频繁 出 现 ， 请 大 家 留意 。 


5. 得 看 当前 弄 面 的 UI 层 次 结构 ， 定 位 第 一 个 cell 
打印 出 当前 界面 的 UI 层 次 结构 如 下 : 


cy# ?expand 
expand == true 
cy# [[UIApp keyWindow] recursiveDescription] 
@"<UIWindow: 0x17d62e00; frame = (0 0; 320 568); autoresize 
= H; gestureRecognizers = «NSArray: 0x17d589b0»; layer = 
«UIWindowLayer: 0x17d21c60>> 

| «UILayoutContainerView: 0x17d86620; frame = (0 0; 320 
568); autoresize = W+H; layer = <CALayer: 0x17d863b0>> 


| | «UIView: 0x17ef2430; frame = (0 0; 320 0); layer = 
«CALayer: 0x17ef24a0>> 

| | «UILayoutContainerView: 0x17d7eb80; frame = (0 0; 
320 568); clipsToBounds - YES; gestureRecognizers - 
«NSArray: 0x17eb6400>; layer = «CALayer: 0x17d7ed60>> 


| | | | | | | | | | 
«PSTableCell: 0x17f92890; baseClass = UlTableViewCell; frame 


= (0 35; 320 44); text = 'My Number'; autoresize = W; tag = 
2; layer = <CALayer: 0x17f92a60>> 


| | | | | | | | | | | | 
«UITableViewCellContentView: Ox17f92ad0; frame = (© 0; 287 


43.5); gestureRecognizers = «NSArray: Ox17f92ce0»; layer = 
«CALayer: 0x17f92b40>> 


| | | | | | | | | | | | 
| |<UITableViewLabel: 0x17f92d30; frame = (15 12; 90 20.5); 


text = 'My Number'; userInteractionEnabled = NO; layer = 
<_UILabelLayer: 0x17f92df0>> 


| | | | | | | | | | | | 
| <UITableViewLabel: 0x17f93060; frame = (132.5 12; 152.5 


20.5); text = '+86PhoneNumber'; userInteractionEnabled = NO; 
layer = <_UILabelLayer: 0x17f93120>> 


{RA AA wT EXE DESI d 
示 “+86PhoneNumber” 的 地 方 ， 而 且 几 乎 不 需要 测 
试 ， 豆 可 以 知道 它 所 在 的 cell] 是 PSTableCell。 符 试 
隐藏 这 个 ceall， 难 证 一 下 猜测 ， 命 令 如 下 : 


cy# [#0x17f92890 setHidden:YES] 


此 时 ，MobilePhoneSettings 变 成 了 如 图 6-15 所 
示 的 这 个 样子 。 


所 以 第 一 个 cell 的 description 是 <PSTableCell: 
0x17f92890;baseClass=UITable View-Cell;frame= 
(035;32044);text="My 
Number';autoresize=W;tag=2;layer=<CALayer: 
0x17f92a60>>。 与 刚才 “编写 邮件 ”按钮 不 同 的 
是 ， 这 次 的 目标 不 是 这 个 cell 的 响应 郴 数 (TH 
能 ) ， 而 是 它 上 面 显 示 的 内 容 (数据 ) ， 
actionsForTarget:forControlEvent: AiG A ° XT 
RAL, WE AZIDE? 


在 绝 大 多 数 情况 下 ， 我 们 感 兴趣 的 数据 不 会 
生 一 个 音量 。 如 且 这 个 数据 永远 显示 1， 笔 背 相信 


你 看 都 不 会 多 看 它 一 眼 。 当 目标 是 一 个 变量 时 ， 
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Kle-15 ”隐藏 第 一 个 cell 


任何 变量 都 不 是 凭空 出 现 的 ， 它 是 由 数据 
源 ， 经 过 一 定 的 算法 生成 的 ， 而 我 们 感 兴趣 的 一 
般 古 这 个 算法 ， 也 束 古 数据 产生 成 变量 的 这 个 过 
程 ， 这 个 过 程 往往 古 由 一 个 或 多 个 函数 串联 而 成 
的 ， 它 们 形成 了 一 个 调用 链 ， 类 似 于 下 面 的 伪 代 
Ay: 


id dataSource = ?; // head 
id a = function(dataSource); 
id b = function(a); 

id c = function(b); 


id z = function(y); 
NSString *myPhoneNumber = function(z); // tail 


Pee LAVA, tied, Brie SEARHY 
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的 生成 算法 ， 束 要 在 回 渊 的 过 程 中 记录 其 数据 源 


(的 数据 源 的 数据 源 .……， DA P tel PRN E De 
源 ) 和 画 数 的 调用 轨迹 ， 当 它 的 N 重 数据 源 是 一 
个 你 可 以 决定 的 数据 时 〈 比 如 本 例 的 数据 源 是 
一 一 SIM 卡 ) ， 从 N 重 数据 源 到 变量 之 间 这 段 链条 
上 的 函数 ， 束 是 变量 的 生成 算法 。 有 点 不 知 所 
云 ? Ax MENA, MWH T ° 


6. 找 出 第 一 个 cell 的 UI 函 数 


按照 MVC 设 计 标 准 (如 图 6-16 所 示 ) ，M 代 
表 model， 即 数据 源 ， 是 未 知 的 ; V 代 表 view， 即 
第 一 个 cell， 是 已 知 的 ;，C 代 表 controller， 是 未 知 
的 。M 和 V 之 间 没 有 直接 联系 ， 而 C 既 可 以 访问 M 
又 可 以 访问 V， 是 三 者 的 交流 中 枢 。 如 果 能 够 利 
用 已 知 的 V， 获 得 C， 不 就 可 以 访问 M， 找 到 目 己 


的 数据 源 了 吗 ? ORT ZUGE T8 Exe AY 
在 实际 操作 中 可 行 吗 ? 
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图 6-16 ”MVC 设计 标准 (SKE Stanford CS 193P) 


从 过 者 目前 的 职业 经 历来 看 ， 从 V 得 到 C， 是 
1009% 可 行 的 ， 用 到 的 关键 函数 ， 驳 是 在 笔者 心目 
中 与 recursiveDescription 具 有 同等 地 位 的 公开 函数 


[UIResponder nextResponder]， 它 的 摘 述 是 这 样 
的 : 


“The UIResponder class does not store or set the 
next responder automatically,instead returning nil by 
default.Subclasses must override this method to set 
the next responder.UIView implements this method 
by returning the UIViewController object that 
manages it(if it has one) or its superview(if it 
doesn’t); UI ViewController implements the method 
by returning its view’s superview;UIWindow returns 


the application object,and UIApplication returns nil." 


也 就 是 说 ， 对 于 一 个 V， 调 用 
nextResponder， 要 么 返回 它 对 应 的 C， 要 么 返回 
它 的 superview。 因 为 MVC 三 者 缺 一 不 可 ， 所 以 C 
是 一 定 存在 的 ， 也 豆 是 说， 一 定 有 一 个 V 的 
nextResponderzéC; 又 因为 通过 


recursiveDescription 可 以 拿 到 所 有 的 V， 所 以 从 已 
知 的 V 获 得 C 十 可 行 的 ， 进 一 步 吏 可 以 访问 M 了 。 


因此 ， 我 们 现在 的 目标 是 拿 天 cell 的 C， 操 作 
EKER fe] ER —— — A cel Wh A 3578 HF] nextResponder, 
一 直到 返回 一 个 C 为 止 ， 命 令 如 下 : 


cy# [40x17f92890 nextResponder] 

Z"«UlITableViewwrapperView: Ox17eb4fcO; frame = (0 0; 320 
504); gestureRecognizers = «NSArray: 0x17ee5230»; layer = 
«CALayer: 0x17ee5170»; contentOffset: (0, 0); contentSize: 
(320, 504}>" 

cy# [#0x17eb4fcO nextResponder] 

#"<UITableView: 0x16c69e00; frame = (0 0; 320 568); 
autoresize = W+H; gestureRecognizers = «NSArray: 
Oxi17f4ace0»; layer = <CALayer: 0x17f4ac20>; contentOffset: 
(0, -64}; contentSize: (320, 717.5}>" 

cy# [#0x16c69e00 nextResponder] 

#"<UIView: Ox17ebf2b0; frame = (0 0; 320 568); autoresize = 
W-H; layer = <CALayer: 0x17ebf320>>" 

cy# [#0x17ebf2b0 nextResponder | 

#"<PhoneSettingsController 0x17f411e0: navItem 
<UINavigationItem: 0x17dae890>, view «UITableView: 
0x16c69e00; frame = (0 0; 320 568); autoresize = W-*H; 
gestureRecognizers = <NSArray: Oxi7f4ace0»; layer = 
«CALayer: 0x17f4ac20>; contentOffset: (0, -64}; contentSize: 
(320, 717.5}>>" 


拿 下 了 C， 束 可 以 从 C 所 在 的 头 文 件 出 发 ， 踏 
上 寻找 M 的 旅途 了 。 对 于 本 例 的 情况 ， 首 先 要 定 
位 PhoneSettingsController 所 在 的 目标 文件 ， 我 们 
不 确定 它 是 来 自 Preferences.app 本 身 ， 还 是 来 自 一 
个 PreferenceBundle。 对 于 这 种 情况 ， 人 简单 验证 一 
FAN Te tour: 


FunMaker-5:~ root# grep -r PhoneSettingsController 
/Applications/Preferences.app/ 

FunMaker-5:~ root# grep -r PhoneSettingsController 
/System/Library/ 

Binary file 
/System/Library/Caches/com.apple.dyld/dyld shared cache armv 
7s matches 

grep: /System/Library/Caches/com.apple.dyld/enable-dylibs- 
to-override-cache: No such file or directory 

grep: 
/System/Library/Frameworks/CoreGraphics.framework/Resources/ 
libCGCorePDF.dylib: No such file or directory 

grep: 
/System/Library/Frameworks/CoreGraphics.framework/Resources/ 
libCcMSBuiltin.dylib: No such file or directory 

grep: 
/System/Library/Frameworks/CoreGraphics.framework/Resources/ 
libCMaps.dylib: No such file or directory 

grep: /System/Library/Frameworks/System.framework/System: No 
such file or directory 

Binary file 
/System/Library/PreferenceBundles/MobilePhoneSettings.bundle 
/Info.plist matches 


RIN TAR A 
MobilePhoneSettings.bundle ° PM [Aiclass-dump’é A’) 
二 进 制 文件 ， 然 后 打开 PhoneSettingsControllerh， 
fr P: 


Qinterface PhoneSettingsController 
:PhoneSettingsListController «TPSetPINView- 
ControllerDelegate» 

- (id)myNumber:(id)argi; 

- (void)setMyNumber:(id)argi specifier:(id)arg2; 


- (id)tableView:(id)argi cellForRowAtIndexPath:(id)arg2; 
Qend 


从 上 面 的 代码 可 以 看 到 ， 前 两 个 方法 明显 跟 
本 机 号 码 相 关 ， 而 第 3 个 方法 是 用 来 初始 化 所 有 
cell 的 数据 源 函 数 ， 每 个 cell 显 示 的 数据 一 般 也 都 
与 这 个 方法 有 着 干 丝 万 缕 的 联系 。 从 这 3 个 方法 入 
F, 一定 可 以 找到 党 一 个 cell 的 数据 产 。 我 们 用 
LLDB 在 [PhoneSettingsController 


tableView:cellForRowAtIndexPath: ]HUA F& RSET 
mh, TTEDHGERIBE, Epec, EARAIL 
号 人 码 的 踪迹 。 下 耐用 debugserver 附 加 Preferences， 
然后 用 LLDB 连 接 ， 查 看 MobilePhoneSettings 的 
ASLRÍmNTe, WW: 


(lldb) image list -o -f 

[0] 0x00078000 

/private/var/db/stash/ .29LMeZ/Applications/Preferences.app/ 
Preferences(0x000000000007c000) 

[1] 0x00231000 
/Library/MobileSubstrate/MobileSubstrate.dylib(0x00000000002 
31000) 

[2] 0x06db3000 /Users/snakeninny/Library/Developer/Xcode/iOS 
DeviceSupport/8.1 
(12B411)/Symbols/System/Library/PrivateFrameworks/BulletinBo 
ard.framework/BulletinBoard 

[3] 0x06db3000 /Users/snakeninny/Library/Developer/Xcode/iOS 
DeviceSupport/8.1 
(12B411)/Symbols/System/Library/Frameworks/CoreFoundation.fr 
amework/CoreFoundation 

[322] 0x06db3000 
/Users/snakeninny/Library/Developer/Xcode/iOS 
DeviceSupport/8.1 
(12B411)/Symbols/System/Library/PreferenceBundles/MobilePhon 
eSettings.bundle/MobilePhoneSettings 


可 以 看 到 ，MobilePhoneSettings 的 ASLR 偏 移 
尽 0x6db3000。 然 后 在 IDA 中 看 看 [Phone- 
SettingsController 
tableView:cellForRowAtIndexPath:] 末 尾 指令 的 地 
址 ， 如 图 6-17 所 示 。 


图 6-17 [PhoneSettingsController 


tableView:cellForRowAtIndexPath: | 


因为 返回 值 存放 在 RO 中 ， 所 以 把 断 点 下 
人 在 “ADD SP,SP,#8” 上 ， 然 后 返回 上 一 级 目录 ,再 
Srt MobilePhoneSettings, FA AAC nd] 
HRO0， 其 中 应 该 存放 了 已 经 初始 化 的 cell， 如 
下 : 


(lldb) br s -a 0x2c965c2c 
Breakpoint 2: where - MobilePhoneSettings - 
[PhoneSettingsController tableView:cellForRowAtIndexPath:] 
236, address = 0x2c965c2c 
Process 115525 stopped 
* thread #1: tid = 0x1c345, 0x2c965c2c MobilePhoneSettings' 
[PhoneSettingsController tableView:cellForRowAtIndexPath:] 
236, queue - 'com.apple.main-thread, stop reason - 
breakpoint 2.1 

frame #0: O0x2c965c2c MobilePhoneSettings - 
[PhoneSettingsController tableView:cellForRowAtIndexPath:] 
236 
MobilePhoneSettings'-[PhoneSettingsController 
tableView:cellForRowAtIndexPath: ] + 236: 
-» 0x2c965c2c: add sp, #8 

0x2c965c2e: pop (r4, r5, r6, r7, pc} 
MobilePhoneSettings'-[PhoneSettingsController 
applicationwillSuspend]: 

0x2c965c30: push {r7, 1r} 

0x2c965c32: mov r7, sp 
(lldb) po $ro 
«PSTableCell: 0x15f41440; baseClass = UITableViewCell; frame 
- (00; 320 44); text - 'My Number'; tag - 2; layer - 
«CALayer: 0x15f4c930>> 
(lldb) po [$rO subviews] 
«  NSArrayM 0x17060e50>( 
«UITableViewCellContentView: O0x15ed0660; frame = (0 0; 320 
44); gestureRecognizers = «NSArray: Oxi15f491e0»; layer = 
«CALayer: 0x15ed06d0>>, 
«UIButton: 0Ox15f26f50; frame = (302 16; 8 13); opaque = NO; 
userInteractionEnabled = NO; layer = «CALayer: 0x15f27050>> 
) 
(lldb) po [$r0 detailTextLabel] 
<UITableViewLabel: 0x15eb3480; frame = (0 0; 0 0); text = 
'+86PhoneNumber'; userInteractionEnabled = NO; layer = 
<_UILabelLayer: 0x15eb3540>> 


+ 


+ 


+ 


可 以 看 到 ， 第 一 个 cell 的 UI 函数 确实 是 


[PhoneSettingsController tableView:cellForRow- 


AtIndexPath:]， 我 们 成 功 完成 了 本 和 的 任务 。 我 
们 有 信心 ， 通 过 PhoneSettingsController 类 一 定 可 
以 拿 到 访问 M 的 方法 ， 在 
tableView:cellForRowAtIndexPath: 内 部 也 一 定 有 M 
的 线索 ， 在 下 一 小 广 中 束 会 见证 。 


DER. DÉEX BUT IEKIBUIKIORTSEUIR, 
recursiveDescription 和 nextResponder 不 适用 于 游 
戏 。 在 地 问 工程 初期 ， 不 建议 把 游戏 作为 练习 目 
标 。 如 果 你 在 熟悉 了 本 书 的 内 容 后 想 要 逆 同 游 
戏 ， 可 以 来 http://bbs.iosre.com 参 与 讨论 。 


6.2.2 ”以 UI 函数 为 起 后 ， 寻 找 目 标 钞 数 


3ESUUIENZX, Won BiA IE ° (He, UIK 
效 与 UI 是 密切 相关 的 ， 也 吏 是 说 ， 要 想 调 用 


[ComposeButtonItem sendAction:withEvent: 2K 34 
写 邮 件 ， 或 者 调用 [PhoneSettingsController 
tableView:cellForRowAtIndexPath:] 来 获取 本 机 号 
码 ， 会 关联 很 多 UI 操作 ， 比 如 刷新 界面 、 尺 寸 布 
局 等 ， 有 一 种 率 一 发 而 动 全 身 的 感觉 。 在 绝 大 多 
BIBL T, S| NaI ARIEN, MAR 
是 安静 地 率 一 发 ， 而 不 会 动 全 号 。 面 对 这 种 挑 
战 ， 我 们 该 何去何从 呢 ? 


作为 工程 师 ， 一 定 要 具备 基本 的 代码 第 识 : 
最 的 层 的 芳 数 通 弟 古 直 接 用 汇编 代码 编写 的 ， 我 
们 还 接触 不 到 ;而 这 层 以 上 的 画 数 全 部 赴 垦 侠 调 
用 的 。UI 函 数 也 不 例外 一 一 它 垦 又 调用 了 我 们 的 
目标 函数 。 用 伪 代 码 表示 如 下 : 


drink GetRegular (water arg) 


Functions(); 


return MakeRegular(arg); 
GetDiet(void) 


Functions(); 
return MakeDiet(); 


GetZero(void) 


Functions(); 
return MakeZero(); 


GetCoke(sugar argi, water arg2, color arg3) 
if (argi > 0 && argi < 3) return GetDiet(); 
else if (argi == 0) return GetZero(); 
return GetRegular(arg2); 

Get7Up(void) 


Functions(); 
return Make7Up(); 


GetMirinda(void) 


Functions(); 
return MakeMirinda(); 


GetPepsi(sugar argi, water arg2, color arg3) 
if (arg3 -- clear) Get7Up(); 


else if (arg3 -- orange) GetMirinda(); 
return GetRegular(arg2); 


GetDrinks(sugar argi, color arg2) // UIFunction 


drink coke = GetCoke(argi1, 100, arg3); 
drink pepsi = GetPepsi(argi, 105, arg3); 
return ArrayWithComponents(coke, pepsi) 


我 们 不 想 每 次 都 喝 两 种 饮料 〈UI 函 数 ) ， 如 
FR AR CS (数据 ) ， 惑 要 找到 Get7Up (生成 
数据 的 目标 函数 ) ; 如 采 想 知道 零度 是 怎么 制作 
的 (功能) ， 就 要 找到 MakeZero (提供 功能 的 日 
ERAN) 。 骸 套 调 用 的 函数 之 间 其 实 也 是 一 个 链 
条 ， 只 要 已 知 链条 上 的 一 个 环 方 ， 束 可 用 通过 族 
器 工程 还 原 整 个 链条 。 这 个 过 程 主要 用 到 的 工具 
尽 IDA 和 LLDB， 我 们 接 春 上 和 面 2 个 App 例 了 于， 看 
看 如 何以 
[ComposeButtonItem sendAction:withEvent: | TH 
[PhoneSettingsController 
tableView:cellForRowAtIndexPath:]3:22] UTER ZA 7J 
线索 ， 寻 找 “ 编 写 邮 件 * 和 “获取 本 机 号 码 ” 的 目标 
ERAN o 


1.53358 55 BITE" RJ H PER ZA 


把 MobileMail 丢 进 IDA 开 始 分 析 ， 然 后 在 
Functions window 里 搜索 


[ComposeButtonItem sendAction:with Event:], ， 如 


图 6-18 所 示 ° 


- Search string is not found 


6-18 1X8 
[ComposeButtonItem_sendAction:withEvent: | 
说 好 的 


[ComposeButtonItem sendAction:withEvent:]U/E? 


既然 ComposeButtonItem 没 有 实现 这 个 方法 ， 那 么 
去 它 的 父 类 里 看 看 。 打 开 ComposeButtonItem.h ， 
看 看 它 继承 目 哪 个 类 ， 如 下 : 


Qinterface ComposeButtonItem : LongPressableButtonItem 
*(id)composeButtonItem; 
Qend 


然后 打开 LongPressableButtonItem.h， 看 看 它 
有 没有 实现 sendAction:withEvent: 方 法 ， 如 下 : 


Qinterface LongPressableButtonItem : UIBarButtonItem 


id _longPressTarget; 
SEL _longPressAction; 


- (void) attachGestureRecognizerToView:(id)argi; 

- (id)createViewForNavigationItem:(id)arg1; 

- (id)createViewForToolbar:(id)arg1; 

- (void)longPressGestureRecognized: (id)arg1; 

- (void)setLongPressTarget:(id)arg1 action: (SEL)arg2; 
@end 


Et XS AVE, ARE CAA 
里 去 看 看 。 打 开 UIBarButtonItem.h， 如 下 : 


Qinterface UIBarButtonItem : UIBarItem <NSCoding> 


原来 这 个 函数 是 在 UIBarButtonItem 类 中 实现 
的 ， 那 么 把 UIKit 的 二 进 制 文件 拖 到 IDA 里 开始 分 
析 。UIKit 二 进 制 文件 较 六 ，IDA 分 析 耗 时 较 长 ， 
二 等 竺 的 间 除 ， 来 http:Wbbs.iosre.com 跟 大 家 聊 聊 
HE ! 


UIKit 初 始 分 析 结 束 后 ， 定 位 到 
[UIBarButtonItem_ sendAction:withEvent:]， 如 图 6- 


19 所 示 。 


; UIBarButtonItem - (void) sendAction:(id) withEvent:(id) 
; Attributes: bp-based frame 


; void _ cdecl -[UIBarButtonItem sendAction:withEvent:] (struct U 
. UlBarButtonlItem sendAction withEvent _ 
{R4,R5,R7,LR} 


RO, e action - 0x2501F69E) ; selRef action 
R11 

RO, ; selRef action 

R4, ; "action' 

RO, 

R1, 

 objc msgSend 

RO, loc 25olr6rc 


图 6-19 [UIBarButtonItem sendAction:withEvent:] 


第 一 个 调用 的 函数 是 objc_msgSend。 官 方 文 
档 的 注释 是 这 样 的 : 


“When it encounters a method call,the compiler 
generates a call to one of the functions 
objc msgSend,objc msgSend stret,objc msgSendSu 
peror objc msgSendSuper stret.Messages sent to an 
object's superclass(using the super keyword) are 


sent using objc msgSendSuper;other messages are 


sent using objc msgSend.Methods that have data 
structures as return values are sent using 


objc msgSendSuper stret and objc msgSend stret." 


依据 第 5 划 中 “对 象 *、“ 方 法 ”和 “实现 ”的 关系 
来 进一步 探索 ，[receiver message] 在 编 详 后 变 成 了 
objc_msgSend(receiver,@selector(message)); 当 方 
法 有 参数 时 ， 则 由 [receiver message:arg1 foo:arg2 
bar:arg3] 变 成 
objc_msgSend(receiver,@selector(message),arg1,arg 
2,arg3)， 依 此 类 推 。 因 此 ， 第 一 个 objc_msgSend 
其 实 是 执行 了 一 个 Objective-C 方 法 。 那 么 它 具 体 
执行 的 是 什么 方法 呢 ? 调用 着 征 谁 ， 参 数 又 是 什 
AWE? 


还 记得 我 们 的 金 句 吗 ? 


“ 国 数 的 前 4 个 参数 存放 在 R0 到 R3 中 ， 其 他 参 
数 存 放 在 栈 中 ;返回 值 放 在 RO 中 。” 


依照 金 句 来 看 ，objc_msgSend 调 用 时 的 参数 
应 该 是 objc_msgSend(R0,R1,R2,R3,*SP,* 
(SP+sizeOfLastArg),…) 的 形式 ， 还 原 成 等 价 的 
Objective-C 方 法 ， 束 是 [RO R1:R2 foo:R3 bar:*SP 
baz:*(SP+sizeOfLastArg) qux:...] ° 把 这 个 套路 运 
用 在 第 一 个 objc_msgSend 上 ， 想 知道 它 的 等 价 
Objective-C 方 法 ， 束 要 看 
anon RO~R3 XSPAh 
什么 。 个 从 下 往 上 倒 推 的 分 析 过 程 ， 是 名 副 
其 实 的 逆向 工程 。 一 起 来 看 一 下 。 


在 “BLX.W_objc_msgSend” 之 前 ，R0 最 近 的 
一 次 赋值 来 自 “MOYV RO,R10”, EPROSEAR10: 


R10 的 最 近 一 次 赋值 来 自 “MOV R10,RO", BUR10 
来 自 R0。 在 “MOV R10,R0” 之 前 ，R0 没 有 被 赋值 
MAPS; 这 显然 是 不 合 逻 辑 的 ， 汇 编 语言 
不 可 能 出 现 这 么 严重 的 设计 漏洞 。 那 么 R0 肯 定 还 
是 在 某 个 地 方 被 赋 信 了 一 一 问题 来 了 ,，“ 某 个 地 
方 ” 是 哪个 地 方 呢 ? 


既然 在 
[UIBarButtonItem_sendAction:withEvent:] 的 内 部 ， 
R0 没 有 被 赋值 ， 那 么 唯一 的 可 能 吏 是 它 在 
[UIBarButtonItem_sendAction:withEvent:]H Jal Fl # 
中 被 赋 值 。 

[UIBarButtonItem sendAction:withEvent:]4£ 291 Jc 
AE BE T 


objc_msgSend(UIBarButtonItem,@selector(_sendAc 


tion:withEvent:),action,event), VU 个 参数 分 别 放 在 
了 RO~R3 中 。 因 此 ， 
[UIBarButtonItem_sendAction:withEvent:] 得 到 调用 
HH 年，R0 的 值 就 是 UIBarButtonItem， 进 而 调 
用 “MOYV R10,R0” 时 的 RO 也 是 UIBarButtonltem， 
即 调 用 “BLX.W_objc_msgSend” 时 的 RO 是 
UIBarButtonItem。 有 点 迷糊 ? 对 照看 图 6-20 再 想 
— RHA T° 


F, fE*BLX.W objc msgSend" ZZ Bil, R1 
最 近 的 一 次 赋值 来 自 <MOV R1R4”， 即 R1 来 自 
R4; R4 了 最 近 的 一 次 赋值 来 目 <LDR R4,[RO]”, 
来 目 *R0， 即 IDA 已 经 标 出 的 “action”。R1 的 演变 
过 程 如 图 6-21 所 示 。 


; UIBarButtonItem - (void) sendAction:(id) withEvent:(id) 
; Attributes: bp-based frame 


; void _ cdecl -[UIBarButtonlItem sendAction:withEvent:](struct U 
..UIBarButtonItem sendAction wjthEvent _ 

{R4,R5,R7,LR} 

R7, SP, #8 

{R10,R11} 

SP, SP, #8 


0, 
RO, $(selRef action - 0x2501F69E) ; selRef action 
R11, R3 
RO, PC ; selRef action 
R4, [RO] ; "action" 
, 0 
, 4 
_objc_msgSend 
RO, loc 2501F6FC 


图 6-20”R0 的 演变 过 程 


; UIBarButtonItem - (void) sendAction:(id) withEvent:(id) 
; Attributes: bp-based frame 


; void _ cdecl -[UIBarButtonlItem sendAction:withEvent:](struct U 
. UlBarButtonItem sendAction withEvent _ 


MOV 
MOV 
MOV 
ADD 
LD 


{R4,R5,R7,LR} 


-3 c ms 
RO, loc 2501F6FC 


图 6-21 ”R1 的 演变 过 程 


因此 ， 第 一 个 objc_msgSend 还 原 成 Objective- 
C 方 法 后 ， 是 [self action], EEFE RORY 


R0 中 。 没 问题 吧 ? 接着 进程 判断 [self action] 是 否 
为 0， 如 果 是 0， 则 不 执行 任何 操作 ， 否 则 到 达 图 


e 
NO 
NO 

O 


图 6-22 [UIBarButtonItem sendAction:withEvent:] 
又 是 4 个 objc_msgSend， 从 上 到 下 逐个 分 析 : 


第 一 个 objc_msgSend 的 R0 来 目 “<LDR RO, 
[R2]”，IDA 已 经 分 析出 [R2] 是 UIApplication 类 ; 
R1 来 目 “LDR R1,[R0]”， 即 “sharedApplication”， 
因此 第 一 个 objc_msgSend 还 原 成 Objective-C 方 法 


WLXE[UlLApplication sharedApplication], HX EME. 
放 入 R0 ° 


A 


第 二 个 objc_msgSend 的 RO 来 自 “MOV 
R0,R10”， 即 R10; 在 图 6-20 中 ， 我 们 知道 R10 的 
值 是 UIBarButtonItem; R1 来 自 “MOV R1,R4”, BẸ 
R4; 在 图 6-21 中 ，R4 的 值 是 “action”。 因 此 第 二 个 
objc msgSend;4 Jis W Objective-C) EME 
[UIBarButtonItem action]， 并 将 退回 值 存 放 在 R0 
中 。 


第 三 个 objc_msgSend 的 R0 仍 来 目 <MOV 
R0,R10”， 即 UIBarButtonItem; R1 来 目 “LDR R1, 
[R0]”， 即 “target”。 因 此 第 三 个 objc_msgSend 还 原 
成 Objective-C 方 法 束 古 [UIBarButtonltem target], 
并 将 返回 值 傈 存在 RO0 中 。 


第 四 个 objc_msgSend 的 R0 来 自 “MOV 
RO,R5”, BURS; R5 来 目 第 一 个 objc_msgSend 下 方 
的 “MOYV R5,R0”， 即 R0;，R0 是 什么 呢 ? 因为 第 一 
个 objc_msgSend 执 行 之 后 ， 把 返回 值 存 放 在 了 R0 
里 ， 所 以 这 个 R0 吏 是 [UIApplication 
sharedApplication] 的 返回 值 ， 它 是 objc_msgSend 的 
第 一 个 参数 。R1 来 自 “LDR RLIRO]", 
好“sendAction:to:from:forEvent:”， 这 是 一 个 有 4 个 
参数 的 方法 ， 加 上 objc_msgSend 的 前 2 个 参数 ， 一 
共 6 个 参数 ， 因 此 R0~R3 寄 存 器 不 够 用 了 ， 有 2 个 
参数 要 放 在 栈 上 。R2 来 自 “MOV R2,R4”， 即 R4; 
R4 来 自 第 二 个 objc_msgSend 下 方 的 “MOV 


N 


RARO", EURO; R0 来 目 第 二 个 objc_ —— 
之 后 的 返回 值 ， 即 [UIBarButtonItem action], 
第 3 个 参 效 。R3 来 目 HR trig 


的 <MOV R3,RO", EURO; R0 来 自 第 三 个 
objc_msgSend 执 行 之 后 的 返回 值 ， 
[UIBarButtonltem target]， 这 是 第 4 个 参数 。 接 下 
来 的 2 个 参数 来 日 栈 ， 而 在 第 四 个 objc_msgSend 以 
， 栈 的 最 近 一 次 改动 来 目 “STRD.W R10,R11, 
[SPJ*， 即 先后 把 R10 和 R11 入 栈 ， 因 此 接 下 来 的 2 
个 参数 就 是 R10 和 R11。R10 是 刚才 已 经 分 析 了 好 
几 裔 的 UIBarButtonItem， 而 R11 来 自 图 6-21 
的 “MOV R11,R3”， 即 R3; ，R3 又 是 一 个 没有 被 赋 
EMEZAN Aa, AEE EER E 
[UIBarButtonItem, sendAction:withEvent: ]A‘)Val H 
者 。 根 据 之 前 的 分 机 ，R11 吏 是 
_sendAction:withEvent: 的 第 二 个 参数 ， 即 event 。 
这 4 个 objc_msgSend 的 参数 关系 可 以 用 图 6-23 和 
6-247 ° 


这 样 看 来 ， 
[UIBarButtonItem_sendAction:withEvent:] 内 最 关键 
的 就 是 [[UIApplication 
sharedApplication |sendA ction:[self action |to:[self 
target]from:self forEvent:event]ix 77 3& [ 9 ALA 
E2448 [UlIBarButtonItem_sendAction:withEvent:] 
会 执行 “编写 邮件 ”操作 ， 所 以 [[UIApplication 
sharedApplication |sendA ction:[self action |to:[self 
target]from:self forEvent:event] 肯 定 会 得 到 调用 。 
虽然 上 面 用 IDA 悍 清 了 每 个 参数 的 来 源 ， 但 是 这 
些 参 数 在 运行 时 的 值 是 什么 ， 用 IDA 仍 看 不 出 
来 ; 是 时 候 借助 LLDB 的 威力 了 ， 一 起 来 看 看 在 
运行 时 这 上段 代码 都 做 了 些 什么 。 


; UIBarButtonItem - (void) sendAction:(id) withEvent:(id) 
; Attributes: bp-based frame 


; void _ cdecl -[UIBarButtonItem sendAction:withEvent:](struct U: 

. UlIBarButtonlItem sendAction withEvent _ 

PUSH (R4,R5,R7,LR) 

ADD R7, SP, #8 

PUSH.W (R10,R11) 

SP, SP, #8 

R10, RO 

RO, f(selRef action ~ 0x2501F69E) elRef action 
1, R3 


SUB 
MOV 
MOV 
MOV ’ 
ADD PC ; selRef_action 
LDR {RO} ; "action" 
MOV RO, R10 

MOV 

BLX 


£3 | msgSend 
CBZ RO, loc 2501F6FC 


图 6-23 ”objc_msgSend 的 参数 关系 (1) 


RO, #(selRef_sharedApplication - Ox2501F6BC) ; selRef s 
R2, #(classRef_UIApplication - Ox2501F6BE) ; classRef U 
RO, PC ; selRef sha lication 
R2, PC ; classRef UIApplication 
R1, [RO] ; "sharedApplication" 
RO, [R2] ; _OBJC CLASS $ UIApplication 
LX. N _objc_msgSend 
5, RO 


, #(selRef_sehd ion_to_from_forEvent_ - 0x2501F6F2) 


selRef|sendAction to from forEvent 
RO] ; "segdAction:to:from:forEvent:" 


; 
"T£ 
ge 


图 6-24 ”objc_msgSend 的 参数 关系 (2) 


用 debugserver 附 加 MobileMail， 然 后 用 LLDB 
连 过 去 ， 打 印 出 UIKit 的 ASLR 偏 移 ， 如 下 : 


(lldb) image list -o -f 

[0] 

0x0008e000/private/var/db/stash/ .29LMeZ/Applications/Mobile 
Mail.app/MobileMail(0x0000000000092000) 

[1] 
0x00393000/Library/MobileSubstrate/MobileSubstrate.dylib(0x0 
000000000393000) 

[2] Ox06db3000 /Users/snakeninny/Library/Developer/Xcode/iOS 
DeviceSupport/8.1 
(12B411)/Symbols/usr/lib/libarchive.2.dylib 

[45] 0x06db3000 
/Users/snakeninny/Library/Developer/Xcode/iOSDeviceSupport/8 
.1(12B411)/Symbols/System/Library/Frameworks/UIKit.framework 
/UIKit 


UIKitHhJASLR (it? Z&0x6db3000 ° HAG 28 UU 
个 objc_msgSend 地 址 是 多 少 ， 如 图 6-25 所 示 。 


text:2501F6F0 Rl, [RO] ; sendAction:to:from:forEvent: 
text:2501F6F2 RO, R5 

text:2501F6F4 . R10, R11, [SP] 

text:2501F6F8 BLX. _objc_msgSend 

text: 2501F6Fc 

text:2501F6FC loc 2501F6FC ; CODE XREF: -[UIBarButtonItem s 
text:2501F6FC AD SP, SP, #8 
text:2501F6FE . (R10,R11) 
text:2501F702 (RA,R5,R7,PC) 
text:2501F702 ; End of function nItem  sondAction:withEvent:] 


图 6-25 ”查看 objc_msgSend 的 地 址 


在 0x6db3000+0x2501F6F8=0x2BDD26F8 上 下 
MBL, PASTE e E FER A, E 
A [[UIA pplication sharedApplication]sendAction: 
[self action]to:[self target]from:self 
forEvent:eventFromArg2]R JL ZX BÆTA, All 
d» 


(lldb) br s -a Ox2BDD26F8 
Breakpoint 4: where = UIKit -[UIBarButtonItem(UIInternal) 
_sendAction:withEvent:] + 116, address = Ox2bdd26f8 
Process 44785 stopped 
* thread #1: tid = Oxaefi1, Ox2bdd26f8 UIKit - 
[UIBarButtonItem(UIInternal) _sendAction:withEvent:] + 116, 
queue - 'com.apple.main-thread, stop reason - breakpoint 4.1 
frame #0: Ox2bdd26f8 UIKit' -[UIBarButtonlItem(UIInternal) 

_sendAction:withEvent:] + 116 
UIKit -[UIBarButtonlItem(UIInternal)  sendAction:withEvent:] 
+ 116: 
-> O0x2bdd26f8: blx 0x2c3539f8 ; symbol 
stub for: roundf$shim 

Ox2bdd26fc: add sp, #8 

Ox2bdd26fe: pop.w {ri0, r11} 

Ox2bdd2702: pop {r4, r5, r7, pc} 
(lldb) p (char *)$r1i 
(char *) $48 = 0x2c3de501 "sendAction:to:from:forEvent:" 
(lldb) po $ro 
«MailAppController: 0x176a8820> 
(lldb) po $r2 
[no Objective-C description available] 
(lldb) p (char *)$r2 
(char *) $51 = 0x2d763308 "composeButtonClicked:" 
(lldb) po $r3 


«nil» 

(lldb) x/10 $sp 

0x00391198: 0x1776d640 Ox176a8ceO0 Ox1760f5e0 0x00000000 

0x003911a8: Ox2c4140f2 Ox1776ff50 Ox003911cc Ox2bc6ec2b 

0x003911b8: 0x176a8ce0 0x00000001 

(lldb) po 0x1776d640 

<ComposeButtonItem: 0x1776d640» 

(lldb) po 0x176a8ce0 

«UITouchesEvent: 0x176a8ce0» timestamp: 58147.4 touches: {( 
«UITouch: 0x1895e2b0» phase: Ended tap count: 1 window: 

«UIWindow: 0x17759c30; frame - (0 0; 320 568); 

gestureRecognizers = «NSArray: 0x1775c7a0»; layer = 

«UIWindowLayer: 0x1752e190>> view: «UIToolbarButton: 

Ox1776ff50; frame = (285 0; 23 44); opaque = NO; 

gestureRecognizers = «NSArray: 0x17758670>; layer = 

«CALayer: 0x17770160>> location in window: (308, 534} 

previous location in window: (304.5, 534} location in view: 

(23, 10} previous location in view: (19.5, 10} 


)} 


其 中 ，objc_msgSend 有 的 参数 RO~R3 很 容易 理 

解 ， 分 别 是 self ^ 
@selector(sendAction:to:from:forEvent:) ^ 
sendAction: 的 参数 和 to: 的 参数 ， 和 直接 打印 寄存 器 
束 可 以 了 。 注 意 ， 在 执行 “po$r2” 的 上 时候，LLDB 
提示 “no Objective-C description available”， 即 R2 
不 是 一 个 Objective-C 对 象 ， 结 合 “action” 的 含义 ， 

EAEE ANSEL, XLH*p(char*)$r2"$TEH f 


它 。 如 何 解 析 栈 中 的 参数 呢 ? AASPERE 
的 指针 ， 而 我 们 知道 余下 的 2 个 参数 都 在 栈 中 ， 且 
大 小 均 为 1 个 字 ， 所 以 ， 可 用 "“x/10$sp?" 打 印 从 栈 撒 
开始 的 连续 10 个 字 ， 前 2 个 字 束 是 from: 和 forEvent: 
的 参数 。Objective-C 方 法 的 大 多 数 参 数 都 是 1 个 字 
长 度 的 指针 ， 指 向 一 个 Objective-C 对 象 ， 因 此 我 
们 “po” 了 前 2 个 字 ， 把 参数 打印 了 出 来 。 为 了 更 便 
于 理解 ， 这 里 SP、 栈 上 存储 的 值 和 参数 的 关系 ， 
可 以 参考 图 6-26。 


+ Ox20=0x003911b8 x1 76a8ce0 
SP + 0x14 Ox1776ff50 


SP + 0x4 0x176a8ce0 arg of forEvent: i.e. UI TouchesEvent 
(1776 


S » 


SP + Ox8 


SP = 0x00391198 0x 1776d640 arg of from: i.e. ComposeButtonltem 


到 6-26 ”SP、 栈 值 和 参数 的 关系 


一 般 情 况 下 ，Objective-C 方 法 在 栈 中 的 参数 
\ 会 超过 10 个 ,，“x/10$sp” 束 足够 了 ， 挨 个 打印 ， 
就 能 找到 栈 上 的 所 有 参数 。 


结合 IDA 和 LLDB， 我 们 知道 
TUIBarButtonItem _sendAction:withEvent:] 的 核心 在 


T [MailAppController 


sendAction:@selector(composeButtonClicked: ) 
to:nil from:ComposeButtonItem 
forEvent:UITouchesEvent]， 离 “编写 邮件 ”的 目标 

函数 又 近 了 一 层 。 下 面 在 IDA 里 看 看 
[UIApplication sendAction:to:from:forEvent: ]H^ A 
部 做 了 些 什 么 ， 如 图 6-27 所 示 。 


, V(:1owerl6:(selRef targetInChainForAction sender ~ Ox24EBBCOA)) 
, 
: V(:upperl6:(selRef targetInChainForAction sender ~ Ox24EBBCOA)) 


, 
, PC; — | ———— ， c a: 
» [RI] ; rgotInCha 

nd 


:1owerl6:(selRef performSelector withObject withObject ~ Ox24EBBC24)) 


tupperl6:(selRef performSelector withObject withObject  - Ox24EBBC24)) 


140x24+ var 14) 
solRe Ref perf — _withobject_: jeu 
per or:withoObject :witho 


图 6-27  [UIApplication 


sendAction:to:from:forEvent: | 


无 论 如 何 ，loc_24ebbc10 中 

的 “performSelector:withObject:withObject:” 都 会 得 
到 执行 ， 我 们 目 然 猜测 它 就 是 做 出 实际 操作 的 地 
方 。 跟 刚才 一 样 ， 用 LLDB 看 看 这 个 方法 到 底 执 
行 了 什么 操作 。UIKit 的 ASLR 偏 移 是 0x6db3000， 
最 下 面 的 那个 objc_msgSend 地 址 是 0x24EBBC26， 
故而 在 0x6db3000+0x24EBBC26=0x2BC6EC26 上 
下 断 点 ， 然 后 按 下 “编写 邮件 ”按钮 触发 断 点 ， 再 
看 看 这 个 方法 的 参数 ， 如 下 : 


(lldb) br s -a Ox2BC6EC26 
Breakpoint 1: where = UIKit' -[UIApplication 
sendAction:to:from:forEvent:] + 66, address = Ox2bc6ec26 
Process 226191 stopped 
* thread #1: tid = 0x3738f, Ox2bc6ec26 UIKit' -[UIApplication 
sendAction: to:from:forEvent:] + 66, queue = 
'com.apple.main-thread, stop reason - breakpoint 1.1 

frame #0: Ox2bc6ec26 UIKit -[UIApplication 
sendAction:to:from:forEvent:] + 66 
UIKit -[UIApplication sendAction:to:from:forEvent:] + 66: 
-> 0x2bc6ec26: blx 0x2c3539f8 ; symbol 
stub for: roundf$shim 

Ox2bc6ec2a: cmp r6, #0 

Ox2bc6ec2c: it ne 

Ox2bc6ec2e: movne r6, #1 
(lldb) p (char *)$r1 


(char *) $0 = Ox2c3dac95 

"performSelector:withObject:withObject:" 

(lldb) po $ro 

«ComposeButtonlItem: Ox14ddf5f0- 

(lldb) p (char *)$r2 

(char *) $2 = 0x2c4140f2 " sendAction:withEvent:" 

(lldb) po $r3 

<UIToolbarButton: 0x14d73c90; frame = (285 0; 23 44); opaque 

= NO; gesture Recognizers = <NSArray: 0x14d22ec0>; layer = 

<CALayer: 0x14d73ea0>> 

(lldb) x/10 $sp 

0x003735a8: 0x160a6120 0x00000001 Ox14d73c90 0x160a6120 

0x003735b8: Ox2c3d9be5 0x003735d4 Ox2bc6ebd1 0x14d73c90 

0x003735c8: 0x160a6120 0x00000040 

(lldb) po 0x160a6120 

<UITouchesEvent: 0x160a6120» timestamp: 73509.2 touches: {( 
<UITouch: Ox14ff2f20» phase: Ended tap count: 1 window: 

«UIWindow: 0x14d878b0; frame - (0 0; 320 568); autoresize - 

W-H; gestureRecognizers = «NSArray: Ox14dba890»; layer = 

«UIWindowLayer: 0x14d87a30>> view: <UIToolbarButton: 

0x14d73c90; frame = (285 0; 23 44); opaque = NO; 

gestureRecognizers = «NSArray: 0x14d22ec0>; layer = 

«CALayer: 0x14d73ea0>> location in window: (308, 545} 

previous location in window: (308, 545} location in view: 

(23, 21) previous location in view: (23, 21} 


)} 


JE A RIS 
performSelector:withObject:withObject: Val Hj T 
[ComposeButtonItem sendAction:withEvent:], if] 
[ComposeButtonItem sendAction:withEvent:] X S 


Val FA performSelector:withObject:withObject:, YOR 


它 再 次 调用 

[ComposeButtonItem sendAction:withEvent], Jb 
这 上 段 代码 束 出 现 循环 调用 了 ， 与 观 绎 到 的 现象 不 
符 ， 也 征 不 合 音 理 的 。 那 我 们 执行 一 FLORS, 
ITE AE RAL , UB 
performSelector:withObject:withObject:& 1x £ A ^E 
Be Mia, MES 


(1ldb) c 
Process 226191 resuming 
Process 226191 stopped 
* thread #1: tid = 0x3738f, Ox2bc6ec26 UIKit' -[UIApplication 
sendAction:to:from:forEvent:] + 66, queue = 'com.apple.main- 
thread, stop reason - breakpoint 1.1 
frame #0: Ox2bc6ec26 UIKit -[UIApplication 

sendAction:to:from:forEvent:] + 66 
UIKit -[UIApplication sendAction:to:from:forEvent:] + 66: 
-> 0x2bc6ec26: blx 0x2c3539f8 ; symbol 
stub for: roundf$shim 

Ox2bc6ec2a: cmp ro, #0 

Ox2bc6ec2c: it ne 

Ox2bc6ec2e: movne r6, #1 
(lldb) p (char *)$r1i 
(char *) $6 = Ox2c3dac95 
"performSelector:withObject:withObject:" 
(lldb) po $ro 
<MailAppController: 0x14e7a7a0> 
(lldb) p (char *)$r2 
(char *) $7 = 0x2d763308 "composeButtonClicked:" 
(lldb) po $r3 


<ComposeButtonItem: 0x14ddf5f0> 

(lldb) x/10 $sp 

0x0037356c: 0x160a6120 0x160a6120 0x24d763308 0x14e7a7a0 

0x0037357c: Oxi4ddf5fO 0x003735a0 Ox2bdd26fd Oxi14ddf5fOo 

0x0037358c: 0x160a6120 Oxi60fbdfO 

(lldb) po 0x160a6120 

<UITouchesEvent: 0x160a6120» timestamp: 73509.2 touches: {( 
<UITouch: Ox14ff2f20» phase: Ended tap count: 1 window: 

«UIWindow: 0x14d878b0; frame - (0 0; 320 568); autoresize - 

W-H; gestureRecognizers = «NSArray: Ox14dba890»; layer = 

«UIWindowLayer: 0x14d87a30>> view: «UIToolbarButton: 

0x14d73c90; frame = (285 0; 23 44); opaque = NO; 

gestureRecognizers = «NSArray: 0x14d22ec0>; layer = 

«CALayer: 0x14d73ea0>> location in window: (308, 545} 

previous location in window: (308, 545} location in view: 

(23, 21) previous location in view: (23, 21} 


)} 


可 以 看 到 ， 
performSelector:withObject:withObject: 的 参数 发 生 
了 变化 ，[MailAppController 
composeButtonClicked:ComposeButtonItem] 得 到 了 
调用 ， 如 来 再 “c” 一 下 ， 发 现 断 点 不 再 触发 ， 所 以 
可 以 确定 执行 实际 操作 有 的 是 
composeButtonClicked: ° [4| 7j E MobileMaill^] f, 
Val FH [UIApplication sharedApplication] n] 以 拿 到 


MailAppController 对 象 ， 而 在 本 小 节 开 始 的 时 

候 ， 我 们 在 ComposeButtonItem.h 里 看 到 了 可 以 通 
过 一 个 类 方法 +composeButtonItem 来 拿 到 
ComposeButtonItem 对 象 ， 所 以 我 们 可 以 拿 到 调用 
[Mail AppController 
composeButtonClicked:ComposeButtonItem] 所 需 的 
全 部 对 象 ， 且 在 MobileMail 的 内 部 任何 地 方 都 可 
以 调用 这 个 方法 ， 它 可 以 算 作 是 “编写 邮件 ”的 目 
Prey ° 


在 Cycript 里 做 最 后 测试 ， 看 看 这 个 目标 函数 
是 否 好 用 ， 命 令 如 下 : 


FunMaker-5:- root# cycript -p MobileMail 
cy# [UIApp composeButtonClicked: [ComposeButtonItem 
composeButtonItem]] 


执行 后 成 功 调 出 “编写 邮件 ”界面 。 在 本 例 
中 ， 我 们 用 IDA 仍 中 函数 的 调用 链 ， 找 到 目标 函 
数 ， 然 后 用 LLDB 人 解析 出 了 它 的 参数 ， 里 然 有 反 
复杂 ， 但 其 实 不 难 ， 不 是 吗 ? 搂 下 来 ， 将 用 类 似 
MERRER “ARIAL SASH HERES, TAK 


家 注意 总 结 。 
2. 寻 找 “ 获 取 本 机 号 码 ” 的 目标 函数 


授 看 上 面 的 内 容 ， 根 据 找 到 的 UI 函数 
[PhoneSettingsController 
tableView:cellForRowAtIndexPath:] 继 续 往 下 分 
析 。 因 为 UI 了 芳 数 的 返回 值 存 放 在 RO 中 ， 而 从 图 6- 
17 的 “MOYV R0,R4” 可 知 ，R0 来 日 R4° 在 
[PhoneSettingsController 


tableView:cellForRowAtIndex Path:] 里 ，R4 只 在 


6-28 里 的 “MOYV R4,R0” 处 被 赋值 了 一 次 ， 这 里 的 
RO 来 目 objc_msgSendSuper?2 执 行 后 的 返回 值 。 
objc_msgSendSuper2 没 有 出 现在 文档 中 ， 由 图 6-29 
可 知 ， 它 来 自 “/usr/lib/ibobjc.A.dylib”。 


按 字面 意思 理解 ，objc_msgSendSuper2 的 作 
用 应 该 跟 objc_msgSendSuper 类 似 ， 即 回调 用 者 的 
父 类 发 送 消 恩 。 不 用 做 过 多 猜测 ， 在 这 个 
objc_msgSendSuper2 下 个 叫 点 ， 看 看 它 的 参数 和 
退回 值 束 知道 了 。 用 debugserver 附 加 Preferences ， 
用 LLDB 连 返 ， 然 后 打印 出 MobilePhoneSettings 的 
ASLRÍmEe, WD: 


; id | cdecl -[PhoneSettingsController tableView:cellForRowAtIndexPath:] 
. PhoneSettingsController tableView cellForRowAtIndexPath - 

var 14= -Oxl4 

var 10-9 -0x10 


PUSH 

ADD 

SUB 

MOV RO 

MOV #(classRef_PhoneSettingsController - 0x25BB2B58) ; c 
STR (SP, #0xl4+var_14] 
MOV R3 
ADD 
LDR 
MOV 
ADD 
LD 


PC ; — | PhoneSettingsController 
[RO] ; _OBJC_ CLASS $ PhoneSettingsController 
#(selRef tableView cellForRowAtIndexPath  - 0x25BB 
PC ; selRef tableView cellForRowAtIndexPath 

R [R1] ; "tableView:cellForRowAtIndexPath:" 

(SP, #0xl4+var_10) 

SP 


Imports from /usr/lib/libobjc.A.dylib 
IMPORT OBJC CLASS $ NSObject 


IMPORT OBJC METACLASS $ 


IMPORT objc personality vO 
IMPORT _ objc empty cache 
IMPORT imp objc_getProperty 
; CODE XREF: 
; DATA XREF: 
IMPORT imp objc_msgSend ; CODE XF 
; DATA XREF: 
IMPORT imp objc_msgSendSuper2 


图 6-29 objc_msgSendSuper2 的 来 源 


(lldb) image list -o -f 
[ 0] 0x00079000 
/private/var/db/stash/ .29LMeZ/Applications/Preferences.app/ 


Preferences(0x000000000007d000) 

[ 1] 0x00232000 
/Library/MobileSubstrate/MobileSubstrate.dylib 
(0x0000000000232000) 

[ 2] 0x06db3000 
/Users/snakeninny/Library/Developer/Xcode/iOS 
DeviceSupport/8.1 
(12B411)/Symbols/System/Library/PrivateFrameworks/BulletinBo 
ard.framework/BulletinBoard 

[ 3] 0x06db3000 
/Users/snakeninny/Library/Developer/Xcode/iOS 
DeviceSupport/8.1 
(12B411)/Symbols/System/Library/Frameworks/CoreFoundation.fr 
amework/CoreFoundation 

[330] 0x06db3000 
/Users/snakeninny/Library/Developer/Xcode/iOS 
DeviceSupport/8.1 
(12B411)/Symbols/System/Library/PreferenceBundles/MobilePhon 
eSettings.bundle/MobilePhoneSettings 


MobilePhoneSettingsHASLR [i £2 x 
0x6db3000。 然 后 看 看 objc_msgSendSuper2 的 地 
址 ， 如 图 6-30 所 示 。 


断 点 的 地 址 应 该 是 
0x6db3000+0x25BB2B68=0x2C965B68。 返 回 上 一 


AS, Fatt A MobilePhoneSettingsfilt Zz BT A 
如 下 : 


25BB2B40 ; id _ cdecl -[PhoneSottingsController tableView:cellForRowAtIndexPath: } (st 
25BB2B40 _ PhoneSettingsController tableView cellForRowAtIndexPath _ 

25BB2B40 ; DATA XREF: — objc const:3044E378,o 
25BB2B40 

25BB2B40 var 14 

25BB2B40 var 10 

25BB2B40 

25BB2B40 (RA-R7,LR) 

25BB2B42 
25BB2B44 
25BB2B46 
25BB2B48 
25882550 


PC ; selRef tableView cellForRowAtIndexP 
[R1] ; "tableView:cellForRowAtIndexPath:" 
[SP,#4] 

SP 


SEFHEPHEEEE 


objc msgSendSuper2 


图 6-30 ”查看 objc_msgSendSuper2 的 地 址 


(lldb) br s -a 0x2C965B68 
Breakpoint 1: where - MobilePhoneSettings - 
[PhoneSettingsController tableView:cellForRowAtIndexPath:] + 
40, address = 0x2c965b68 
Process 268587 stopped 
* thread #1: tid = 0x4192b, 0x2c965b68 MobilePhoneSettings - 
[PhoneSettings Controller tableView:cellForRowAtIndexPath:] 
* 40, queue - 'com.apple.main-thread, stop reason - 
breakpoint 1.1 

frame #0: 0x2c965b68 MobilePhoneSettings - 
[PhoneSettingsController tableView:cellForRowAtIndexPath:] + 
40 
MobilePhoneSettings' -[PhoneSettingsController 
tableView:cellForRowAtIndexPath:] + 40: 
-> 0x2c965b68: b1x 0x2c975fb8 ; Symbol 
stub for: CTSettingRequest$shim 

0x2c965b6c: mov r4, ro 

0x2c965b6e: movw rO, #54708 

0x2c965b72: movt rO, #2697 


(lldb) p (char *)$r1 
(char *) $0 = Ox2c3daf33 "tableView:cellForRowAtIndexPath:" 
(lldb) po $ro 
[no Objective-C description available] 
(lldb) ni 
Process 268587 stopped 
* thread #1: tid = 0x4192b, Ox2c965b6c MobilePhoneSettings - 
[PhoneSettings Controller tableView:cellForRowAtIndexPath: | 
+ 44, queue = 'com.apple.main-thread, stop reason = 
instruction step over 

frame #0: Ox2c965b6c MobilePhoneSettings - 
[PhoneSettingsController tableView:cellForRowAtIndexPath:] + 
44 
MobilePhoneSettings'-[PhoneSettingsController 
tableView:cellForRowAtIndexPath:] + 44: 
-» 0x2c965b6c: mov r4, ro 

0x2c965b6e: movw ro, #54708 

0x2c965b72:  movt ro, #2697 

0x2c965b76: mov r2, r5 
(lldb) po $ro 
«PSTableCell: Oxi5fc6b00; baseClass = UITableViewCell; frame 
= (0 0; 320 44); text = 'My Number'; tag = 2; layer = 
«CALayer: 0x1i5fbbe40>> 
(lldb) po [$r0 detailTextLabel] 
<UITableViewLabel: 0x15fb5590; frame = (0 0; 0 0); text = 
'+86PhoneNumber'; userInteractionEnabled = NO; layer = 
<_UILabelLayer: 0x15fd87e0>> 


值得 一 提 的 是 ，objc_msgSendSuper2 的 第 一 
个 参数 并 不 是 一 个 Objective-C 对 象 ， 我 不 清楚 这 
到 奈 是 LLDB 的 bug， 还 是 情况 确实 如 此 ， 但 这 不 
影 啊 本 市 的 分 析 ， 急 上 略 这 个 细 市 整 好 。 感 兴趣 的 


朋友 可 以 继续 人 研究， 然后 在 http://bbs.iosre.com 分 
FARAR E ° 


话说 回来 ，LLDB 的 输出 结果 预示 着 
objc_msgSendSuper2 的 返回 结 末 丈 是 初始 化 好 的 
cell， 里 面 已 经 公 有 了 本 机 号 码 信 息 。 跟 上 一 万 类 
似 ， 到 PhoneSettingsController 的 父 类 里 看 看 
tableView:cellForRowAtIndexPath: 的 实现 。 首 先 打 
开 PhoneSettingsController.h， 看 看 它 的 父 类 是 谁 ， 
如 下 : 


Qinterface PhoneSettingsController : 
PhoneSettingsListController <TPSetPINViewControllerDelegate> 


a] LLG |, PhoneSettingsController27K H 
PhoneSettingsListController, 4+] Phone- 


SettingsListControllerh， 看 看 它 有 没有 实现 


tableView:cellForRowAtIndexPath:77 2E, ADF: 


Qinterface PhoneSettingsListController : PSListController 


(id)bundle; 

(void)dealloc; 

(id)init; 

(void)pushController:(Class)argi specifier:(id)arg2; 
(id)setCellEnabled:(BOOL)arg1 atIndex: (unsigned int)arg2; 
(id)setCellLoading: (BOOL)arg1 atIndex: (unsigned int)arg2; 
(id)setControlEnabled:(BOOL)argi atIndex: (unsigned int) 
arg2; 

- (id)sheetSpecifierWithTitle:(id)argi controller: 
(Class)arg2 

detail:(Class)arg3; 

- (void)simRemoved: (id)arg1; 

- (id)specifiers; 

- (void)updateCellStates; 

- (void)viewWillAppear:(BOOL)arg1; 

@end 


10d d 1 d» | |» ve aa 


可 见 ，PhoneSettingsListController 没 有 实现 
tableView:cellForRowAtIndexPath:， 继 续 去 它 的 父 
类 PSListController 里 看 看 。PSListController 已 经 不 
在 MobilePhoneSettings.bundle 里 了 ， 用 上 一 章 介 


ZANT ARITA, RRD LH] DAZE PR A class-dump*& 
文件 里 定位 PSListController.h， 如 图 6-31 所 示 。 


ee Eo ion a~ X2 uU 
Search: This Mac & xu Shared 


Name 


D PSListControlier.h C Hea...rce File Today, 1:24 PM 


fT snakeninny * D Code » D lOSPrivateHeaders » fy 8.1 » D PrivateFrameworks » [yj Preferences > © PSListControlier.h 


&l6-31 ”定位 PSListController.h 


注意 ，PSListControllerh 来 目 与 


Preferences.app 同 名 的 Preferences.framework， 请 
大 家 注意 分 辩 。 打 开 它 ， 看 看 有 没有 实现 
tableView:cellForRowAtIndexPath: 方 法 ， 如 下 : 


Qinterface PSListController : PSViewController 
«UITableViewDelegate, UITableView DataSource, 
UIActionSheetDelegate, UIAlertViewDelegate, 
UIPopoverControllerDelegate, PSSpecifierObserver, 
PSViewControllerOffsetProtocol» 


可 以 看 到 ， 它 确实 实现 了 这 个 方法 ， 在 IDA 
中 打开 Preferences.framework 里 的 二 进 制 文件 ， 定 
位 到 tableView:cellForRowAtIndexPath:， 如 图 6-32 
ARAN ° 


— 
-[PSListController tableView:cellForRowAtIndexPath: 


图 6-32 [PSListController 


tableView:cellForRowAtIndexPath: | 


TENSE Ie EUR ERR, DT ORE, 76 
TECH ab RMR, Bek Re A 
有 “本 机 号 码 ” 信 息 ， 确 认 objc_msgSendSuper2 是 
ty Hi T [PSListController 
tableView:cellForRowAtIndexPath:] ° ^: E & 
Preferences.frameworkHJASLR (at? , "ll M: 


(lldb) image list -o -f 

[ 0] 0x00079000 

/private/var/db/stash/ .29LMeZ/Applications/Preferences.app/ 
Preferences(0x000000000007d000) 

[ 1] 0x00232000 
/Library/MobileSubstrate/MobileSubstrate.dylib(0x00000000002 
32000) 

[ 2] 0x06db3000 
/Users/snakeninny/Library/Developer/Xcode/iOS 
DeviceSupport/8.1 
(12B411)/Symbols/System/Library/PrivateFrameworks/BulletinBo 
ard.framework/BulletinBoard 

[ 3] 0x06db3000 
/Users/snakeninny/Library/Developer/Xcode/iOS 
DeviceSupport/8.1 
(12B411)/Symbols/System/Library/Frameworks/CoreFoundation.fr 
amework/CoreFoundation 

[ 42] 0x06db3000 
/Users/snakeninny/Library/Developer/Xcode/iOS 
DeviceSupport/8.1 
(12B411)/Symbols/System/Library/PrivateFrameworks/Preference 
s.framework/Preferences 


它 的 ASLR 偏 移 是 0x6db3000。 然 后 看 看 
[PSListController 
tableView:cellForRowAtIndexPath:] 尾 部 指令 的 地 
址 ， 如 图 6-33 所 示 。 


XETIAIFTIES = : ; COD NEP: -[PBSListController 
ext:2A9F79E6 j- istController tableView:c| 


图 6-33 [PSListController 


tableView:cellForRowAtIndexPath: | 


因为 返回 值 存放 在 R0 中 ， 而 R0 来 自 “MOV 
R0,R6”， 即 R6， 所 以 在 这 条 指令 上 下 一 个 断 点 ， 
然后 打印 R6。 这 条 指令 的 地 址 是 0x2A9F79E6， 
VEIT ES BRE 
0x6db3000+0x2A9F79E6=0x317AA9E6 ° J&E] E 


— Tl Ff ENAA MobilePhoneSettings, fi WT 
A. UF: 


(lldb) br s -a 0x317AA9E6 
Breakpoint 5: where = Preferences -[PSListController 
tableView:cellForRowAtIndexPath: ] + 1026, address = 
0x317aa9e6 
Process 268587 stopped 
* thread #1: tid = 0x4192b, 0x317aa9e6 Preferences - 
[PSListController tableView:cellForRowAtIndexPath:] + 1026, 
queue - 'com.apple.main-thread, stop reason - breakpoint 5.1 
frame #0: 0x317aa9e6 Preferences -[PSListController 
tableView:cellForRowAtlIndexPath:] + 1026 
Preferences -[PSListController 
tableView:cellForRowAtlIndexPath:] + 1026: 
-> 0x317aa9e6: mov ro, r6 
0x317aa9e8: add sp, #28 
0x317aa9ea: pop.w (r8, r10, rit} 
0x317aa9ee: pop (r4, r5, r6, r7, pc} 
(lldb) po $r6 
«PSTableCell: Ox1i5f8c6a0; baseClass = UITableViewCell; frame 
= (0 0; 320 44); text = 'My Number'; tag = 2; layer = 
«CALayer: 0x15f7c0b0>> 
(lldb) po [$r6 detailTextLabel ] 
<UITableViewLabel: Ox15f7b8d0; frame = (0 0; © 0); text = 
'+86PhoneNumber'; userInteractionEnabled = NO; layer = 
<_UILabelLayer: 0x15f7b990>> 


从 LLDB 的 输出 可 以 确认 objc_msgSendSuper2 
调用 了 [PSListController 


tableView:cellForRowAtIndexPath:]， 且 它 的 返回 


(ERA FRG ° AREE THREW? 当 我 们 往 上 回 
HH, ROKR, nIEUESUROTE/J 
objc_msgSend 时 第 一 个 参数 ， 多 次 出 现在 了 这 个 
方法 内 部 ， 如 图 6-34 所 示 。 


, a lowerl6:(selRef setSpecifier  - Ox2A9F79AA)) 


, TT tupperié: t1(selRef | a - 0x2A9F79AA)) 
RO, PC pag pp M ry rper 
Rl, [RO] } "setSpecifier 


c msgSend 
, V(:1owerl6:(selRef refreshCollContontsWithSpecifier -~ Ox2A9F7 


, 

= — :(selRef_: OOAD ian. - Ox2A9F7 
Ref Seri reshCellContentswWiths: pe en 

R1, fao] j ar shCellContentsWithSpecifio 

RO, 


 objc ms msgSend 

RO, §(_ onc IVAR z- PSListController. ipiam. anas bir Po oy 
RO, PC ; ar fo —— ox con cet dForCreatoedCells 

RO, [RO] ; go  forceSynchr sIconLoadFo ae eatedCe lls 

RO, [R4,RO} 

RO, loc 2A9F79E6 


RO, f(selRef forceSynchronousIc 
RO, PC ; selRef Eur tice s umi pan 


= {0} ， "forceSynchronousIconLoadOnNe xtIconLoad" 


p^ c msgSend 


图 6-34 R6H3I on AA S 


再 往 上 一 点 ， 会 发 现 往 R6 里 写 入 的 ， 都 是 刚 
刚 初 始 化 的 各 种 对 象 ， 如 图 6-35、 图 6-36、 图 6-37 


E 
mall 


R11, (SP,#0x34+var_34) 

RO, PC ; PET: mettre te rt ner tete y Y per m 
R1, [RO] ; eld r:specifier"... 
RO, » 


; selRef autorelease 


图 6-35”R6 被 赋值 (1) 


这 个 现象 很 好 理解 ， 
tableView:cellForRowAtIndexPath: 的 作用 本 来 就 是 
返回 一 个 可 用 的 cell。 因 此 ， 常 规 的 做 法 是 在 方法 
内 部 先 创建 一 个 空 的 cell， 然 后 调用 别 的 函数 来 配 
置 它 。 那 么 ， 从 一 个 空 的 PSTableCell 到 舍 有 “本 机 
号 码 ” 信 息 的 这 个 配置 过 程 发 生 在 哪里 昵 ? 现在 已 
知 头 部 的 PSTableCell 不 含有 本 机 号 码 ， 尾 部 的 
PSTableCell 售 有 本 机 号 码 ， 所 以 这 个 设置 过 程 一 
是 发 生 在 tableView:cellForRowAtIndexPath: 内 部 


的 ， 且 是 通过 一 个 objc_msgSend 函 数 完成 的 。 因 
此 ， 现 在 的 问题 变 成 了 ， 在 一 堆 objc_msgSend 苏 
数 中 ， 怎 么 去 定位 那个 设置 “本 机 号码” 的 


objc msgSend? 


&(:lowerl6:(selRef initWithStyle reuseIden 
$(:upperl6:(selRef initWithStyle reuseIden 
#0 


; selRef  initWithStyle reuseIdentifier 
7 [RO] ; “initwithStyle: reuseIdentifier:" 


 objc | msgSend 

R1, #(selRef_autorelease - 0x2A9F7896) ; selRe 
R1, PC ; selRef _ autorelease 

R1, [R1] ; "autorelease" 

objc ms 

R6, RO 


 objc msgSend 
RO 


#(selRef_ alloc ~ 0x2A9F77EE) 
PC ; selRef alloc 
[RO] ; "alloc" 


图 6-37 R6 被 赋值 (3) 


MARA IESU, ALLAN SATIRE 
ft ° table-View:cellForRowAtIndexPath: N RHS 
objc_msgSend 个 数 毕 葛 有 限 ， 在 执行 
objc_msgSend 之 前 和 之 后 各 打印 一 次 [$r6 
detailText-Label]， 对 比 两 者 的 异同 ， 束 一 定 可 以 
找到 这 个 objc_msgSend; 数学 比较 好 的 朋友 可 能 
用 二 分 法 ， 从 tableView:cellForRow-AtIndexPath: 
中 间 部 分 的 某 个 objc_msgSend 开 始 找 ， 不 断 缩 小 
排查 范围 。 这 吏 是 见 仁 见 神 的 问题 了 ， 大 和 家 选择 
—RPBUsOXBJLF e. FH, ZERRI 
折 中 的 二 分 法 ， 如 图 6-38 所 示 。 


WES 
-[PSListController tableView:cellForRowAtIndexPath: 


图 6-38  [PSListControllertableView: 


cellForRowAtIndexPath: | 


采用 二 分 查找 法 固然 效率 噩 ， 但 
[PSListController tableV- 
iew:cellForRowAtIndexPath:] 的 分 支 很 多 ， 从 哪个 
地 方 分 ， 可 以 保证 不 簿 漏 每 一 个 分 文 呢 ? 因为 
[PSListController tableVi- 
ew:cellForRowAtIndexPath:] 的 执行 一 定 会 通过 图 
6-38 所 示 的 深 色 方志 ， 所 以 以 这 个 地 方 为 二 分 所 

定 不 会 遗漏 任何 分 文 ， 然 后 从 它 的 第 一 个 
en 如 采 [$r6 detail TextLabel] 
含有 本 机 号 码 信 息 ， 那 么 欧 往 上 找 ， 人 否则 往 下 
找 。 我 们 去 看 看 这 个 深 色 方块 包含 的 汇编 指令 
如 图 6-39 所 示 。 


, *(selRef class ~ Ox2A9F797A) ; solRof class 
, e Ref PSTableCell - Ox2A9F797C) ; classRef PSTableCell 
PC 


f | class 
; classRef PSTableCell 
$ "class" 
; OBJC CLASS $ PSTableCell 


s T isKindOfCl 
7 "C selRef " iaKindOfClas 
; "isKindOfClass:" 


- s — ; selRef isKindOfClass 


loc | 2A9F79E6 


Kle-39 ” 深 色 方块 所 在 的 loc_2a9f7966 


这 里 有 2 个 objc_msgSend， 束 从 最 上 面 这 一 个 
开始 吧 ， 看 看 它 的 地 址 ， 如 图 6-40 所 示 。 


' CODE XREF: -[PSListController 
PSListController tableView:c 
, M (seiner. class ~ 0x2A9F797A) ; selR 
, V(classRef PSTableCell - 0x2A9F797C) 
, PC ; selRef class 
; classRef PSTableCell 
; "class" 
; _OBJC_ CLASS $ PSTableCell 


, #(selRef isKindOfClass - 0x2A9F799¢ 
r $ selRef_ isKindOfClass 
; "isKindOfClass:" 


图 6-40 ”查看 objc_msgSend 的 地 址 


Preferences 的 ASLR 俩 移 是 0x6db3000， 了 刚才 
已 经 用 到 了 ， 所 以 断 点 的 地 址 是 


0x6db3000+0x2A9F797E=0x317AAQ7E ° fih 
看 看 此 时 PSTableCell 是 否 人 对 有 本 机 号 人 码 信 
A, 如 下 : 


(lldb) br s -a 0x317AA97E 
Breakpoint 10: where - Preferences -[PSListController 
tableView:cellForRowAtIndexPath:] + 922, address = 
0x317aa97e 
Process 268587 stopped 
* thread #1: tid = 0x4192b, 0x317aa97e Preferences - 
[PSListController tableView:cellForRowAtIndexPath:] + 922, 
queue - 'com.apple.main-thread, stop reason - breakpoint 
10.1 

frame #0: 0x317aa97e Preferences -[PSListController 
tableView:cellForRowAtlIndexPath:] + 922 
Preferences -[PSListController 
tableView:cellForRowAtIndexPath: ] + 922: 
-> 0x317aa97e: blx 0x31825f04 ; symbol 
stub for: NETRBClientResponseHandler block invoke 

0x317aa982: mov r2, rO 

0x317aa984: movw ro, #59804 

0x317aa988: movt ro, #1736 
(lldb) po [$r6 detailTextLabel] 
«UITableViewLabel: 0x15f7e490; frame = (0 0; 0 0); 
userInteractionEnabled = NO; layer = <_UILabelLayer: 
0x15fd1c90>> 


ELDRA ZU RAS, WHAE 
一 定 征 在 图 6-38 深 色 方 块 下 方 的 3 个 方块 里 生成 


HJ e REDIT nif, TEBE objc_msgSendHJ ij 
后 各 “po[$r6 detailTextLabel]"—ZX, AFP: 


(lldb) ni 
Process 268587 stopped 
* thread #1: tid = 0x4192b, 0x317aa982 Preferences - 
[PSListController tableView:cellForRowAtIndexPath:] + 926, 
queue - 'com.apple.main-thread, stop reason - instruction 
step over 
frame #0: 0x317aa982 Preferences -[PSListController 
tableView:cellForRowAtIndexPath:] + 926 
Preferences -[PSListController 
tableView:cellForRowAtIndexPath:] + 926: 
-> 0x317aa982: mov r2, ro 
0x317aa984: movw ro, #59804 
0x317aa988: movt ro, #1736 
0x317aa98c: add rO, pc 
(lldb) po [$r6 detailTextLabel] 
«UITableViewLabel: 0x15f7e490; frame = (0 0; 0 0); 
userInteractionEnabled = NO; layer = <_UILabelLayer: 
0x15fd1c90>> 
(lldb) ni 
Process 268587 stopped 
* thread #1: tid = 0x4192b, 0x317aa992 Preferences`- 
[PSListController tableView:cellForRowAtIndexPath:] + 942, 
queue = 'com.apple.main-thread, stop reason = instruction 
step over 
frame #0: 0x317aa992 Preferences -[PSListController 
tableView:cellForRowAtlIndexPath:] + 942 
Preferences -[PSListController 
tableView:cellForRowAtlIndexPath:] + 942: 
-> 0x317aa992: blx 0x31825f04 ; symbol 
stub for: NETRBClientResponseHandler block invoke 
0x317aa996: tst.w rO, #255 
0x317aa99a:  beq 0x317aa9e6 =- 
[PSListController tableView: cellForRowAtIndexPath: ] * 1026 
Ox317aa99c: movw ro, #60302 
(lldb) po [$r6 detailTextLabel] 
«UITableViewLabel: 0x15f7e490; frame = (0 0; 0 0); 


userInteractionEnabled = NO; layer = <_UILabelLayer: 
0x15fd1c90>> 
(lldb) ni 
Process 268587 stopped 
* thread #1: tid = 0x4192b, 0x317aa996 Preferences`- 
[PSListController tableView:cellForRowAtIndexPath:] + 946, 
queue = 'com.apple.main-thread, stop reason = instruction 
step over 
frame #0: 0x317aa996 Preferences -[PSListController 

tableView:cellForRowAtIndexPath:] + 946 
Preferences -[PSListController 
tableView:cellForRowAtlIndexPath:] + 946: 
-> 0x317aa996: tst.w rO, #255 

0x317aa99a: beg 0x317aa9e6 on 
[PSListController tableView:cellForRowAtIndexPath:] + 1026 

Ox317aa99c: movw ro, #60302 

0x317aa9a0: mov r2, r11 
(lldb) po [$r6 detailTextLabel] 
«UITableViewLabel: 0x15f7e490; frame = (0 0; 0 0); 
userInteractionEnabled = NO; layer = <_UILabelLayer: 
0x15fd1c90>> 
(lldb) ni 
Process 268587 stopped 
* thread #1: tid = 0x4192b, 0x317aa9ac Preferences`- 
[PSListController tableView:cellForRowAtIndexPath:] + 968, 
queue = 'com.apple.main-thread, stop reason = instruction 
step over 

frame #0: 0x317aa9ac Preferences -[PSListController 
tableView:cellForRowAtIndexPath: ] + 968 
Preferences -[PSListController 
tableView:cellForRowAtIndexPath:] + 968: 
-> 0x317aa9ac: blx 0x31825f04 ; Symbol 
stub for: NETRBClientResponseHandler block invoke 

0x317aa9b0O: movw ro, #60822 

0x317aa9b4: mov r2, r11 

0x317aa9b6:  movt ro, #1736 
(lldb) po [$r6 detailTextLabel] 
«UITableViewLabel: 0x15f7e490; frame = (0 0; 0 0); 
userInteractionEnabled = NO; layer = <_UILabelLayer: 
0x15fd1c90>> 
(l1ldb) ni 
Process 268587 stopped 
* thread #1: tid = 0x4192b, 0x317aa9b0 Preferences - 
[PSListController tableView:cellForRowAtIndexPath:] + 972, 


queue - 'com.apple.main-thread, stop reason - instruction 
step over 

frame #0: 0x317aa9b0 Preferences -[PSListController 
tableView:cellForRowAtlIndexPath:] + 972 
Preferences -[PSListController 
tableView:cellForRowAtIndexPath:] + 972: 
-> 0x317aa9b0: movw rO, #60822 

0x317aa9b4: mov r2, r11 

0x317aa9b6: movt ro, #1736 

0x317aa9ba: add rO, pc 
(lldb) po [$r6 detailTextLabel] 
«UITableViewLabel: 0x15f7e490; frame = (0 0; 0 0); 
userInteractionEnabled = NO; layer = « UlLabelLayer: 
0x15fd1c90>> 
(lldb) ni 
Process 268587 stopped 
* thread #1: tid = 0x4192b, 0x317aa9cO0 Preferences`- 
[PSListController tableView:cellForRowAtIndexPath:] + 988, 
queue = 'com.apple.main-thread, stop reason = instruction 
step over 

frame #0: 0x317aa9cO Preferences -[PSListController 
tableView:cellForRowAtIndexPath: ] + 988 
Preferences -[PSListController 
tableView:cellForRowAtIndexPath:] + 988: 
-> 0x317aa9cO: blx 0x31825f04 ; symbol 
stub for: NETRBClientResponseHandler_block_invoke 

Ox317aa9c4: movw ro, #4312 

Ox317aa9c8: movt ro, #1737 

0x317aa9cc: add rO, pc 
(lldb) po [$r6 detailTextLabel] 
«UITableViewLabel: 0x15f7e490; frame = (0 0; 0 0); 
userInteractionEnabled = NO; layer = « UlLabelLayer: 
Oxi15fdic90»» 
(l1ldb) ni 
Process 268587 stopped 
* thread #1: tid = 0x4192b, 0x317aa9c4 Preferences - 
[PSListController tableView:cellForRowAtIndexPath:] + 992, 
queue - 'com.apple.main-thread, stop reason - instruction 
step over 

frame #0: 0x317aa9c4 Preferences -[PSListController 
tableView:cellForRowAtIndexPath:] + 992 
Preferences -[PSListController 
tableView:cellForRowAtIndexPath:] + 992: 
-> 0x317aa9c4: movw ro, #4312 


0Ox317aa9c8: movt ro, #1737 

0x317aa9cc: add rO, pc 

0x317aa9ce: ldr ro, [r0] 
(lldb) po [$r6 detailTextLabel] 
«UITableViewLabel: 0x15f7e490; frame = (0 0; 0 0); text = 
'+86PhoneNumber'; userInteractionEnabled = NO; layer = 
<_UILabelLayer: 0x15fd1ic90>> 


{£0x317aa9cOXhAobjc_msgSendB#ij Ja 
PSTableCell 的 本 机 号 人 码 信息 发 生 了 变化 ， 
0x317aa9c0-0x6db3000=0x2A9F79C0, TEIDA'F 4E 
位 到 这 个 objc_msgSend， 如 图 6-41 所 示 。 


图 6-41 设置 本 机 号 人 码 的 objc_msgSend 


“用 specifier 刷 新 cel 的 内 容 >， 这 个 方法 的 作 
用 显而易见 ， 我 们 看 看 这 个 specifier 征 什么 。 在 这 
个 objc_msgSend 上 下 个 断 点 ， 触 发 后 ， 打 印 它 的 
参数 ， 如 下 : 


(lldb) br s -a 0x317AA9CO 
Breakpoint 11: where - Preferences -[PSListController 
tableView:cellForRowAtIndexPath:] + 988, address = 
0x317aa9cO 
Process 268587 stopped 
* thread #1: tid = 0x4192b, 0x317aa9cO0 Preferences - 
[PSListController tableView:cellForRowAtIndexPath:] + 988, 
queue - 'com.apple.main-thread, stop reason - breakpoint 
11.1 

frame #0: 0x317aa9cO Preferences -[PSListController 
tableView:cellForRowAtIndexPath:] + 988 
Preferences -[PSListController 
tableView:cellForRowAtIndexPath:] + 988: 
-> 0x317aa9cO0: blx 0x31825f04 ; symbol 
stub for: NETRBClientResponseHandler block invoke 

Ox317aa9c4: movw ro, #4312 

0x317aa9c8: movt ro, #1737 

0x317aa9cc: add rO, pc 
(lldb) p (char *)$r1i 
(char *) $97 = 0x318362d2 
"refreshCellContentsWithSpecifier:" 
(lldb) po $r2 
My Numbe ID:myNumberCell 0x170ece60 target: 
«PhoneSettingsController 0x170ed760: navlItem 
<UINavigationItem: 0x170d0b40>, view «UITableView: 
0Ox16acb200; frame = (0 0; 320 568); autoresize = W-*H; 
gestureRecognizers = «NSArray: 0x15d232d0>; layer = 
«CALayer: 0x15fc9110>; contentOffset: (0, -64}; contentSize: 
{320, 717.5}>> 
(lldb) po [$r2 class] 
PSSpecifier 


可 以 看 到 ，specifier 是 一 个 PSSpecifier 对 有 象 ， 
而 且 与 本 机 号 码 相 关 。 如 有 果 你 在 第 5 章 的 
PreferenceBundle 部 分 仔细 阅读 过 preferences 
specifier plist 标 准 ， 允 知道 PSTableCell 的 内 容 是 由 


PSSpecifier 指 定 的 ， 因 此 可 以 通过 [PSSpecifier 
propertyForKey:@”set"] 和 [PSSpecifier 
propertyForKey:@” get” |= 2!|PS SpecifierHJsetter #1 
getter, Uf: 


(lldb) po [$r2 propertyForKey:@"set" ] 
setMyNumber: specifier: 

(lldb) po [$r2 propertyForKey:Q"get"] 
myNumber : 


还 可 以 通过 [PSSpecifier target] & 2 EK 
target, W F: 


(lldb) po [$r2 target] 
«PhoneSettingsController 0x170ed760: navlItem 
<UINavigationItem: 0x170d0b40>, view «UITableView: 
0x16acb200; frame = (0 0; 320 568); autoresize = WtH; 
gestureRecognizers = «NSArray: 0x15d232d0>; layer = 
«CALayer: 0x15fc9110>; contentOffset: (0, -64); contentSize: 
(320, 717.5}>> 


非常 好 ， 现 在 我 们 知道 PSTableCell 的 本 机 号 


I3 E38 1 [PhoneSettingsController setMy 


Number:specifier:] 方 法 设置 的 ， 
[PhoneSettingsController myNumber:] 读 取 的 (你 
对 它 俩 还 有 印象 吗 ? ) ， 那 么 ， 在 myNumber: 内 
部 ， 就 一 定 有 获取 本 机 号 码 的 方法 ， 如 图 6-42 所 
E 


; re ep re - (id)myNumber:(id) 
; id cdecl J—— ntroller myNumber:](struct PhoneSettingsController *self, SEL, id) 
. PhoneSettingsController myNumber - 
var_10= -0x10 
PUSH pe -R7,LR) 
ADD 7, SP, #0xc 
" E LET 
, 
" « selRef telephony ~ Ox25BB3FCA) ; selRef telephony 
: #(:lowerl6: (classRef PhoneSettingsTelephony ~ 0x25BB3FD2)) 


, PC ; ee ‘telephony 
, Gu 6:( —J  PhoneSettingsTelephony - 0x25BB3FD2)) 
“te 


PT. 
j oles sRef  PhoneSettings Telephony 
A CLASS $ PhoneSottingsTolephony 


r ~ 0x25BD3FE2) ; selRof myNumber 
r 


, RO 
_UIUnformattedPhoneNumberfromSt ring 
R2, RO 


图 6-42 [PhoneSettingsController myNumber:] 


[PhoneSettingsController myNumber:]H32 #4 
FUERIS, Wh [[PhoneSettingsTelephony 
telephony]myNumber] 的 长 度 是 否 为 0， 如 采 不 为 


0， 它 就 是 本 机 号码 ， 否 则 返回 一 个 “未 知 号 人 码 ”， 
告诉 用 户 无 法 读 取 本 机 号 码 。 用 Cycript 测 斌 一 下 
DT ss 


FunMaker-5:- roots cycript -p Preferences 
cy# [[PhoneSettingsTelephony telephony] myNumber | 
@"+86PhoneNumber" 


现在 ， 退 出 Preferences， 把 它 从 后 台 彻 底 关 
nEs], MZA MobilePhoneSettings +t 
面 ， 再 测试 一 次 这 个 方法 ， 如 下 : 


FunMaker-5:~ root# cycript -p Preferences 
cy# [[PhoneSettingsTelephony telephony] myNumber] 
ReferenceError: Can't find variable: PhoneSettingsTelephony 


出 现 了 和 销 误 ， 这 十 怎么 回 事 ?” 那 是 因为 
PhoneSettingsTelephony 是 


MobilePhoneSettings.bundle 中 的 一 个 类 ， 如 采 不 


进入 MobilePhoneSettings 界 面 ， 这 个 bundle 是 不 会 
加 载 的 ， 所 以 这 个 类 也 是 不 存在 的 。 也 就 十 说 ， 
要 调用 这 个 方法 ， 需 要 先 加 载 
MobilePhoneSettings.bundle 。Preference.app 加 载 
MobilePhoneSettings.bundle 的 方式 被 称 为 延迟 加 
载 (lazyload) ， 在 iOS 逆 癌 工程 中 出 现 类 似 状 况 
的 时 候 很 多 ， 当 你 全 到 时 ， 欢 迎 来 


N 


http:Wbbs.iosre.com 跟 大 家 交流 心得 。 


其 实 到 此 为 止 ， 可 以 认为 我 们 已 经 找到 了 目 
标 函 数 ， 因 为 我 们 拿 到 了 这 个 方法 的 调用 者 和 参 
数 ， 而 且 这 个 方法 不 涉及 UI 操作 ， 调 用 起 来 干净 
利沙。 但 有 一 点 让 人 不 丈 的 是 ， 调 用 这 个 方法 前 
必须 加 载 MobilePhoneSettings.bundle。 有 没有 办 
法 去 掉 这 个 硬指标 ， 让 我 们 不 需要 加 载 这 个 


bundle 束 能 拿 到 本 机 和 号码 呢 ? 应 该 存在 这 么 一 个 
方法 。 因 为 本 机 号 码 是 存储 在 SIM 卡 上 的 ， 所 以 
[PhoneSettingsTelephony myNumber] 的 原始 数据 源 
应 该 来 日 SIM 卡 ， 而 能 够 访问 SIM 卡 的 显然 不 止 
MobilePhoneSetting.bundle， 因 此 底层 一 定 存在 更 
通用 的 访问 SIM 卡 的 库 ， 如 有 果 能 定位 到 这 个 库 ， 
舍 计 就 可 以 直接 读 取 本 机 号 码 了 。 有 既然 是 一 个 更 
故 层 的 库 ， 那 么 目 然 要 从 [PhoneSettingsTelephony 
myNumber] 入 手 ， 看 看 它 的 内 部 是 如 何 读 取 本 机 
写 码 的 ， 如 图 6-43 所 示 。 


它 的 逻辑 也 比较 何 单 ， 先 取出 实例 变量 
_myNumber， 如 有 果 它 不 古 ni， 则 走 左 边 并 记 
3« "My Number requested,returning cached value: 


%@”， 即 返回 一 个 缓存 中 的 数据 ， 人 否则 走 右 边 ， 


^t Val FA PhoneSettingsCopyMyNumberEN av AV 45 AL 
号 倍 ， 册 记录 “My Number requested,no cached 
value,fetched: %@”， 即 没有 在 缓存 中 找到 本 机 号 
码 ， 返 回 一 个 现 取 的 数据 。 因 此 ， 调 用 
PhoneSettingsCopyMyNumber P] LARGE AWL S03 , 
但 从 名 字 来 看 ， 它 仍然 是 
MobilePhoneSettings.bundle 里 的 一 个 函数 ， 在 这 
个 bundle 外 不 能 调用 ， 看 来 我 们 挖 得 还 人 不够 深 。 
继续 看 看 这 个 函数 内 部 做 了 些 什 么 ， 如 图 6-44 所 
示 。 


{ &efettingsTelephosy myNWumber](struct PhoneSettingsTelephony ‘self, SEL) 
y meyWumber 


P, SP, x10 
x10, LIES! ri6:( OBJC IVAR $ PhonefSettingsTelephony. myNumber ~ 0x252556300)) N 


owe 类 
Ri, 
alo, tupperlé:( OBJC IVAR $ PhoneSettingsTelephony. myWumbor ~ 0x25586300)) WEString * myMumbor 
NSÜtring * myMumber 
5] 
BB 


, ; NSütrin 
; 0} NáString * myNumbor 
» [RiR 

2 


图 6-43  [PhoneSettingsTelephony myNumber] 


RT PhoneSettingsCopyMyNumber 
5 mem: 7c wm 
(R7,LR) 


R7, SP 
 CTSettingCopyMyPho 


oneNumber 
, "epu autorelease - J| — ; selRef autorelease 
R1 .autorelea 
ease 


r 
ee 
on eSettingsCopyMyNumbe 


图 6-44  PhoneSettingsCopyMyNumber 


这 段 代 码 先 调用 
— n TE [B] ELA 
autoreleasejé, ?AJa Fo Vi H 
PhoneSettingsCopyFormattedNumberBySIMCountry 
， 看 其 函数 名 好 像 是 根据 SIM 卡 所 在 的 国家 把 号 
码 给 格式 化 了 。 那 么 
CTSettingCopyMyPhoneNumber 函 数 无 论 是 从 名 字 
还 是 上 下 文 来 看 ， 都 非 第 疑似 获取 本 机 号 码 的 函 


数 ， 而 且 CT 前 绥 说 明 它 来 目 CoreTelephony， 而 不 
是 MobilePhoneSettings。 双 击 这 个 函数 ， 看 看 它 
的 内 部 实现 ， 如 图 6-45 所 示 。 


; Attribute thunk 


me ——À— 
LDR r we _CTSettingCopyMyPhoneNumber ptr - apro 
R12; CTSettingCopyMyPhoneNumber 
ee imp -CtSettingCoppMyPhoneNumber 


46-45  CTSettingCopyMyPhoneNumber 


AR ePID ABER BL, PRO 
ii* imp __CTSettingCopyMyPhoneNumber”, Æ 
A C ET EÉ—— 1E CoreTelephony ° i211 
Preferences, (LEME & tUa tT TT, 
不 要 进入 MobilePhoneSettings 界 面 ， 然 后 用 
debugserver 附 加 ， 用 eee list, (KF 
发 现 CoreTelephony 赫 然 名 列 其 中 。 这 意味 着 ， 我 


们 不 需要 加 载 MobilePhoneSettings.bundle 就 可 以 
调用 CTSettingCopyMyPhoneNumber 获 取 未 经 格式 
化 的 本 机 号 码 ， 它 就 是 我 们 要 找 的 目标 画 数 。 那 
么 还 和 独 最 后 一 个 问题 一 一 它 的 参数 和 返回 值 是 什 
AAT 


从 图 6-44 看 来 ， 
CTSettingCopyMyPhoneNumber 不 像 是 有 参数 一 一 
它 的 前 面 甚 至 没有 出 现 RO~R3 寄 存 器 。 如 果 它 有 
参数 ， 那 么 RO0~R3 也 是 来 目 它 的 调用 者 ， 即 
PhoneSettingsCopyMyNumber。 但 从 图 6-43 看 来 ， 


PhoneSettingsCopyMyNumber 之 前 也 只 出 现 了 

RO, EWR, ROE 0, 
PhoneSettingsCopyMyNumber 看 起 来 也 没有 参数 。 
为 了 祭 险 起 见 ， 还 是 去 CoreTelephony 里 看 看 


CTSettingCopyMyPhoneNumber 的 实现 ， 如 图 6-46 
AAR ° 


Ae fe Objective-C EN ZW fin 44 Thi A, 
CTTelephonyCenterGetDefaultzé& 1 EME HJ; 
TE*BL. CTTelephonyCenterGetDefault" FH, ROW 
CTTelephonyCenterGetDefaultAJi& P (E 48 zi fH 
了 ; 而 在 图 6-46 的 最 下 面 ，R1 也 被 <MOV 
R1,R4” 中 的 R4 黎 雷 择 了。 如 朱 R0 和 R1 十 参数 ， 那 
么 这 2 个 参数 驶 没有 起 任何 作用 ， 不 合 第 理 ， 因 此 
说 明 CTSettingCopyMyPhoneNumber 没 有 参数 。 那 
么 它 的 返回 值 呢 ? RSIR BARRE BJ I 
值 是 一 个 字符 串 ， 但 为 了 保险 起 见 ， 还 是 在 
CTSettingCopyMyPhoneNumber 的 尾部 下 个 断 点 ， 


把 R0 打 印 出 来 看 看 吧 。 先 在 IDA 中 看 看 它 的 地 
址 ， 如 图 6-47 所 示 。 


{R4-R7,LR} 

R7, SP, #0xC 
(R8,R10,R11) 

SP, SP, #0x1ic 

R6, $0 

R6, [SP,fOx34*var 1C] 
 CTTelephonyCenterGetDefault 
R4, RO 

Rll, SP, #0x34+var_1ic 
R8, SP, #0x34+var_28 
R10, SP, #0x34+var_20 
R5, # 


loc 2226760E 
MOV 


MOV 


图 6-46 CTSettingCopyMyPhoneNumber 


7 ak th Preferences, (HE Mm aw mod 
后 重新 打开 ， 不 要 进入 MobilePhoneSettings 界 
面 ， 然 后 用 debugserver 附 加 ， 用 LLDB 查 看 
CoreTelephony 的 ASLR 偏 移 ， 如 下 : 


= 2676 E ; CODE XREF 
_ text:2226763A SP, SP, #0x1C 
text:2226763C . {R8,R10,R11} 


“text : 22267640 {R4-R7,PC} 
| text:22267640 ; End of function CTSettingCopyMyPhoneNumber 


图 6-47  CTSettingCopyMyPhoneNumber 


(lldb) image list -o -f 

[ 0] 0x000b3000 

/private/var/db/stash/ .29LMeZ/Applications/Preferences.app/ 
Preferences(0x00000000000b7000) 

[ 1] 0x0026c000 
/Library/MobileSubstrate/MobileSubstrate.dylib 
(0x000000000026c000) 

[ 2] 0x06db3000 
/Users/snakeninny/Library/Developer/Xcode/iOS 
DeviceSupport/8.1 
(12B411)/Symbols/System/Library/PrivateFrameworks/BulletinBo 
ard.framework/BulletinBoard [ 51] 0x06db3000 
/Users/snakeninny/Library/Developer/Xcode/iOS 
DeviceSupport/8.1 
(12B411)/Symbols/System/Library/Frameworks/CoreTelephony.fra 
mework/CoreTelephony 


我 们 融 把 断 点 下 在 
0x6db3000+0x2226763A=0x2901A63A 上 吧 。 然 后 
i# A. MobilePhone-Settings## Hm, AREETA, W 
F: 


(lldb) br s -a 0x2901A63A 
Breakpoint 1: where = 
CoreTelephony`CTSettingCopyMyPhoneNumber + 78, address = 
0x2901a63a 
Process 330210 stopped 
* thread #1: tid = 0x509e2, 0x2901a63a 
CoreTelephony`CTSettingCopyMyPhoneNumber + 78, queue = 
'com.apple.main-thread, stop reason = breakpoint 1.1 
frame #0: 0x2901a63a 
CoreTelephony CTSettingCopyMyPhoneNumber + 78 
CoreTelephony CTSettingCopyMyPhoneNumber + 78: 
-» 0x2901a63a: add sp, #28 
0x2901a63c: pop.w (r8, r10, r11} 
0x2901a640: pop ir4, r5, r6, r7, pc} 
0x2901a642: nop 
(lldb) po $ro 
+86PhoneNumber 
(lldb) po [$r0 class] 
. NSCFString 


它 就 是 一 个 NSString， 这 样 就 可 以 还 原 这 个 
芳 数 的 原型 啦 一 一 


NSString *CTSettingCopyMyPhoneNumber ( void); 


EMERI HERK, (ESL PSTableCell 
的 数据 源 ， 我 们 通过 分 析 [PhoneSettings Controller 
tableView:cellForRowAtIndexPath:] 所 在 的 函数 调 
用 链 找 到 了 它 。 在 调用 它 的 时 候 ， 注 意 释放 返回 
值 束 好 了 。 写 一 个 小 tweak 测 测 这 个 函数 ， 确 保 它 
是 正确 的 。 


(1) HjTheos3ir&&tweak T. 
TFE"'OSREGetMyNumber", MEW b: 


snakeninnys-MacBook:Code snakeninny$ /opt/theos/bin/nic.pl 
NIC 2.0 - New Instance Creator 


[1.] iphone/application 

[2.] iphone/cydget 

[3.] iphone/framework 

[4.] iphone/library 

[5.] iphone/notification center widget 
[6.] iphone/preference bundle 

[7.] iphone/sbsettingstoggle 

[8.] iphone/tool 

[9.] iphone/tweak 


[10.] iphone/xpc service 
Choose a Template (required): 9 
Project Name (required): iOSREGetMyNumber 
Package Name [com.yourcompany.iosregetmynumber |: 


com.iosre.iosregetmynumber 

Author/Maintainer Name [snakeninny]: snakeninny 
[iphone/tweak] MobileSubstrate Bundle filter 
[com.apple.springboard]: com.apple.Preferences 
[iphone/tweak] List of applications to terminate upon 
installation (space-separated, '-' for none) [SpringBoard]: 
Preferences 

Instantiating iphone/tweak in iosregetmynumber/... 

Done. 


(2) 编辑 Tweak.xm， 代 码 如 下 : 


extern "C" NSString *CTSettingCopyMyPhoneNumber(void); // X 
HCoreTelephony 

%hook PreferencesAppController 

- (BOOL)application:(id)argi didFinishLaunchingWithOptions: 
(id)arg2 

{ 


BOOL result = %orig; 

NSLog(@"10SRE: my number = %@", 
[CTSettingCopyMyPhoneNumber() autorelease]); 

return result; 


} 
%end 


(3) 编辑 Makefile 及 control 


编辑 后 的 Makefile 内 容 如 下 : 


THEOS DEVICE IP = iOSIP 
ARCHS = armv7 arm64 
TARGET = iphone: latest:8.0 


include theos/makefiles/common.mk 

TWEAK NAME - iOSREGetMyNumber 
iOSREGetMyNumber FILES - Tweak.xm 
iOSREGetMyNumber FRAMEWORKS = CoreTelephony # 
CTSettingCopyMyPhoneNumber?& EL ix # 
include $(THEOS MAKE PATH)/tweak.mk 
after-install:: 


install.exec "killall -9 Preferences" 


编辑 后 的 control 内 容 如 下 : 


Package: com.iosre.iosregetmynumber 

Name: iOSREGetMyNumber 

Depends: mobilesubstrate, firmware (»- 8.0) 

Version: 1.0 

Architecture: iphoneos-arm 

Description: Get my number just like MobilePhoneSettings! 
Maintainer: snakeninny 

Author: snakeninny 

Section: Tweaks 

Homepage: http://bbs.iosre.com 


(4) 测试 


TEE BtweakdTET] OROSA, FT IF 
Preferences, Xt A MobilePhoneSettings 7 E ° 
然后 ssh 到 iOS 上 看 看 syslog， 如 下 : 


FunMaker-5:- roots grep iOSRE: /var/log/syslog 
Nov 29 23:23:01 FunMaker-5 Preferences[2078]: iOSRE: my 
number = +86PhoneNumber 


(5) 补充 


因为 笔者 的 iPhone 5 将 地 区 设置 为 了 美国 ， 所 
以 格式 化 之 前 的 本 机 号 码 是 “+86PhoneNumber”， 
[1 
PhoneSettingsCopyFormattedNumberBySIM Country 
格式 化 之 后 变 成 了 “+86 Pho-neNu-mber", BÆ E] 
电话 号 码 格式 。 


FETE [8] Ht H ll) 
CTSettingCopyMyPhoneNumberhY , faGiOsn [a] 
工程 熟练 度 的 增加 ， 你 就 会 慢 慢 发 现 ， 它 的 正确 


p RUE SET: 


CFStringRef CTSettingCopyMyPhoneNumber ( ); 


因为 NSString* 和 CFStringRef 是 等 价 的 ， 所 以 
我 们 的 写法 也 没 占 题 。 


因为 CTSettingCopyMyPhoneNumber 的 函数 名 
中 含有 “copy” 字 样 ， 且 它 运 回 了 一 个 CoreData 对 
象 ， 所 以 根据 苹果 的 “Ownership Policy” (Google 
bc ownership policy”) ， 我 们 要 负责 释放 

ERR EE. e 


本 节 用 大 量 篇 幅 ， 用 ARM 汇 编 完善 了 “定位 
目标 函数 ?环节 ， 并 将 其 细 分 为 "从 现象 切入 
App， 找 出 UI 函 数 >” 和 “以 UI 函 数 为 起 点 ， 寻 找 目 
标 函 数 " 两 步 ， 结 合 Cycript、IDA 和 LLDB， 既 定 
位 了 目标 函数 ， 又 解析 了 一 些 不 够 直观 的 国 数 参 
数 。 两 个 例子 中 演示 的 套路 基本 可 以 应 付 现在 


9596R App, WAKA ME! T 3b59otsi 4 , 
欢迎 来 http://bbs.iosre.com 提 供 肥 例 ， 我 们 一 起 来 
寻求 解决 方案 。 


63 LLDB 的 使 用 技巧 


上 一 下 是 不 是 为 你 开局 了 ioOS 逆 回 工 程 的 另 一 
kal]? IDA 和 LLDB 的 配合 简直 是 无 坚 不 拱 ， 再 配 
合 ARM 指 令 集 文档 ， 似 乎 已 经 达成 了 “ 它 俩 在 
手 ， 天 下 我 有 ”的 境 弄 。 你 是 不 是 已 经 迫 不 及 行 ， 
He BE De Tee Ts HSE ERA BT AIR OWE 


FeAl sa * 6.2 TZ PIF RE ASR AIS H 
SIDAFILLDB, (4 (5A iW LLDBAY Fs H 
景 。 因 此 下 面 以 几 个 短 例 示范 一 下 LLDB 的 使 用 
技巧 ， 它 们 在 实战 中 的 合理 运用 能 够 大 大 减少 我 
们 的 工作 量 。 


6.3.1 寻找 函数 调用 者 


在 上 一 下 的 2 个 例子 里 ， 和 在 还 原画 数 调 用 链 
IY, ERATE PARA TREE aN, ty 
SLEEP ER T ENTIS HI SER PU ^ nins EWER 
JH AE FURR, ARs 3242191 T ES A VR 
用 着 起 谁 了 。 看 下 面 这 样 一 段 代 码 : 


// clang -arch armv7 -isysroot xcrun --sdk iphoneos --show- 
sdk-path' -framework Foundation -o MainBinary main.m 
#include <stdio.h> 
#include <dlfcn.h> 
#import <Foundation/Foundation.h> 
extern void TestFunctionO(void) 

NSLog(Q"iOSRE: %u", arc4random uniform(0)); 
extern void TestFunctioni(void) 

NSLog(Q"iOSRE: %u", arc4random uniform(1)); 
extern void TestFunction2(void) 

NSLog(Q"iOSRE: %u", arc4random_uniform(2) ); 
extern void TestFunction3(void) 

NSLog(Q"iOSRE: %u", arc4random_uniform(3)); 


int main(int argc, char **argv) 


TestFunction3(); 
return 0; 


把 这 上 段 代 码 存 成 名 为 main.m 的 文件 ， 用 注释 
里 的 那 句 话 编译 它 ， 然 后 把 MainBinary 拖 进 
IDA， 并 得 看 NSLog 的 交叉 引用 ， 如 图 6-48 所 示 。 


Qo & baj xrefs to NSLog 


Directior Tyr Address 
_TestFunction0+20 


_TestFunction1 +20 
_TestFunction2+20 
_TestFunction3+20 


图 6-48 ”查看 NSLog 的 交叉 引用 


可 以 看 到 ， 在 这 段 代 码 中 ，NSLog 出 现在 了 4 
函数 里 ， 如 果 在 赣 同 时 发 现 syslog 中 出 现 
了 iOSRE: 0”， 那 么 这 个 输出 到 底 是 来 目 哪个 
NSLog 呢 ?当代 码 的 逻辑 比较 人 简单 时 ， 徘 人 工 束 
可 以 指出 只 有 TestFunction3 得 到 了 调用 ， 它 进而 
又 调用 了 NSLog。 可 如 果 这 里 有 20 个 
TestFunction， 分 别 被 8 个 不 同 的 函数 调用 呢 ? 32 


HARI. A OPT RR Soo FEAR 
下 要 寻找 NSLog 的 调用 者 ，LLDB 束 能 起 到 很 大 的 
作用 ; 用 LLDB 寻 找 函 数 调 用 者 ， 主 要 有 2 种 方 


法 。 
1. 查 看 LR 


还 记得 6.1.3 记 介绍 的 LR 寄存 紫 吗 ? 它 的 作用 
AERE BUE » frAeXxRIBDE? 举例 如 下 : 


void FunctionA() 


在 上 面 的 伪 代 码 中 ，EunctionA 调 用 
FunctionB， 而 A 和 B 一 般 位 于 内 存 中 的 2 块 不 同 区 
域 ， 它 们 的 地 址 没有 直接 天 联 。B 执 行 结 束 后 ， 


需要 回 到 A 里 继续 执行 接 下 来 的 指令 ， 如 图 6-49 所 


小 


FunctionA 


FunctionB 


Al6-49 返回 地 址 示意 图 


BOUT RAAB HET, Bien SD 
址 。 因 为 它 位 于 调用 着 的 内 部 ， 所 以 如 条 能 知道 
LR 的 值 ， 吏 可 以 知道 调用 着 羡 堆 ;概念 不 好 全 ， 


操作 一 思 你 驶 全 明日 了 。 移 把 
Foundation.framework 的 二 进 制 文件 拖 进 IDA， 初 
始 分 析 结 束 后 定位 到 NSLog， 查 看 其 基地 址 ， 如 
图 6-50 所 示 。 


它 的 基地 址 是 0x2261ab94， 等 会 我 们 要 在 它 
上 下 断 点 ， 打 ELR 的 值 。 接 看 用 debugserver 局 动 
MainBinary， 如 下 : 


text:2261AB94 
text:2261AB94  NSLog ; CODE XREF: - 
text:2261AB94 ; -[NSLock loc 


text:2261AB94 
text:2261AB94 var 18 
94 


: 


text:2261AB94 SP, SP, #0xC 
} 


text :2261AB96 
text :2261AB98 
text :2261AB9A 
text :2261AB9C 
text :2261ABA0 
text :2261ABA4 


text :2261ABAE e , 
text:2261ABBO . (R7,LR) 
text:2261ABB4 SP, SP, #0xC 
text:2261ABB6 BX LR 
text:2261ABB6 ; End of function  NSLog 


图 6-50 ”查看 NSLog 基 地 址 


FunMaker-5:- roots debugserver -x backboard *:1234 
/var/tmp/MainBinary 
debugserver -@(#)PROGRAM:debugserver  PROJECT:debugserver- 
320.2.89 

for armv7. 

Listening to port 1234 for a connection from *... 


再 用 LLDB 连 过 去 ， 如 下 : 


(lldb) process connect connect://localhost:1234 
Process 450336 stopped 
* thread #1: tid = Ox6df20, Oxifec7000 dyld' dyld start, 
stop reason - signal SIGSTOP 

frame #0: Oxifec7000 dyld' dyld start 
dyld' dyld start: 
-> Oxifec7000: mov r8, sp 

Oxifec7004: sub sp, sp, #16 

Oxifec7008: bic sp, sp, #7 

Oxifec700c: ldr r3, [pc, #112] ; _dyld_start 
+ 132 
(lldb) image list -f 
[ 60] 
/Users/snakeninny/Library/Developer/Xcode/iOSDeviceSupport/8 
.1 (12B411)/Symbols/usr/lib/dyld 


此 时 MainBinary 还 未 局 动 ， 我 们 位 于 dyld 内 
部 。 接 下 来 ， 一 直 执 行 “i 命 令 ， 直 到 出 
现 “error: invalid thread” 的 提示 ， 如 下 : 


(lldb) ni 
Process 450336 stopped 


* thread #1: tid = Ox6df20, Oxifec7004 dyld' dyld start + 4, 
stop reason - instruction step over 
frame #0: Oxifec7004 dyld dyld start + 4 

dyld' dyld start + 4: 
-> Oxifec7004: sub sp, sp, £16 

Oxifec7008: bic sp, sp, #7 

Oxifec700c: ldr r3, [pc, #112] ; 
_dyld_start + 132 

Oxifec7010: sub rO, pc, #8 
(1ldb) 
Process 450336 stopped 
* thread #1: tid = Ox6df20, Oxifec7008 dyld`_dyld_start + 8, 
stop reason = instruction step over 

frame #0: Oxifec7008 dyld`_dyld_start + 8 
dyld' dyld start + 8: 
-> Oxifec7008: bic sp, sp, #7 

Oxifec700c: ldr r3, [pc, #112] > 
 dyld start + 132 

Oxifec7010: sub rO, pc, #8 

Oxifec7014: ldr r3, [r0O, r3] 
(l1ldb) 
error: invalid thread 


到 这 里 ， 不 要 再 执行 “ni 六 命令 了 ， 此 时 dyld 开 
台 加 载 MainBinary， 等 竺 一 会 ， 进 程 又 会 停 下 
来 ， 这 时 我 们 已 经 在 MainBinary 内 部 ， 可 以 开始 
调试 了 了， 如下: 


Process 450336 Stopped 
* thread #1: tid = Ox6df20, Oxifec7040 dyld' dyld start + 
64, queue - 'com.apple.main-thread, stop reason - 
instruction step over 

frame #0: Oxifec7040 dyld' dyld start + 64 


dyld' dyld start + 64: 
-> Oxifec7040: ldr r5, [sp, #12] 

Oxifec7044: cmp r5, #0 

Oxifec7048: bne Oxifec7054 F 
_dyld_start + 84 

Oxifec704c: add sp, r8, #4 


-F (814 Foundation.frameworkB ^] ASLR ffr 
fe. Ub: 


(lldb) image list -o -f 

[ 0] 0xeoofcooo 
/private/var/tmp/MainBinary(0x0000000000100000) 
[ 1] 0x000c6000 
/Users/snakeninny/Library/Developer/Xcode/iOS 
DeviceSupport/8.1 (12B411)/Symbols/usr/lib/dyld 
[ 2] 0x06db3000 
/Users/snakeninny/Library/Developer/Xcode/iOS 
DeviceSupport/8.1 
(12B411)/Symbols/System/Library/Frameworks/Foundation.framew 
ork/Foundation 


Hr RE 
0x6db3000+0x2261ab94=0x293CDB94 ° R E tA 


fr"c"üp A a T: 


(lldb) br s -a 0x293CDB94 
Breakpoint 1: where = Foundation`NSLog, address = 0x293cdb94 


(1ldb) c 
Process 450336 resuming 
Process 450336 stopped 
* thread #1: tid = Ox6df20, Ox293cdb94 Foundation NSLog, 
queue - 'com.apple.main-thread, stop reason - breakpoint 1.1 
frame #0: Ox293cdb94 Foundation NSLog 
Foundation NSLog: 
-» 0x293cdb94: sub sp, #12 
Ox293cdb96: push {r7, 1r} 
0x293cdb98: mov r7, sp 
0x293cdb9a: sub sp, #4 


最 后 打 FRLR 的 值 ， 如 下 : 


(1ldb) p/x $1r 
(unsigned int) $0 = 0x00107f8d 


因为 MainBinary 的 基地 址 是 0x000fc000， 所 
以 在 IDA 里 打开 MainBinary， 然 后 跳 转 到 
0x107f8d-0xfc000=0xBF8D， 如 图 6-51 所 示 ° 


ext :0000BF68 EXPORT | on3 
text:0000BF68  TestFunction3 ; CODE XREF: main*l 
text:0000BF68 
text:0000BF68 var C 
text:0000BF68 
text:0000BF68 (R7,LR) 
text:0000BF6A MOV R7, SP 
text:0000BF6C SP, SP, #4 
RO, $3 


et 
他 

tal 

et 
© 
© 
© 
© 
wo 
| 
a 
m 


text:0000BF74 .arcárandom uniform 
R1, #(cfstr_ IosreU -~ OxBF84) 
; : tu” 


ec 
° 
* 
et 
© 
o 
o 
o 
wo 
be | 
~ 
@ 


text :0000BF80 R1, PC ; RE: 
text :0000BF82 RO, [SP,#0xC+var_C]} 
text :0000BF84 RO, 

text:0000BF86 Rl, [SP,$0xC*var C] 
text:0000BF88 b 

text:0000BF8C SP, SP, #4 
text:0000BFBE POP (R7,PC) 
text:0000BFBE ; End of function  TestFunction3 


Al6-51  TestFunction3 


它 位 于 TestFunction3 中 “BLX_NSLog” 的 正 下 
方 ， 我 们 找到 了 NSLog 的 调用 者 。 有 一 点 需要 强 
调 的 是 ， 因 为 LR 在 被 调用 者 内 部 可 能 会 产生 变 
化 ， 所 以 断 点 一 定 要 下 在 基地 址 上 “。 很 商 单 吧 ? 


2. 执 行 “ni” 命 仿 到 调用 者 内 部 


RAE ALR’ ATA Rial, {ATE EY Bl 
子 里 ， 我 们 要 了 个 小 花样: 因为 事 移 知道 
MainBinary 调 用 了 NSLog， 所 以 才 用 LR 减 去 


MainBinaryHASLR (ite f$ Hub, AIR EIDA 
跳 过 去 。 而 一 般 情 况 下 ， 我 们 不 知道 哪个 函数 调 
用 了 NSLog， 更 不 知道 哪个 模块 调用 了 NSLog， 
因此 也 就 不 知道 该 用 LR 减 去 谁 的 ASLR 偏 移 了 。 
要 解决 这 个 问题 ， 我 们 的 理论 依据 仍 是 “B 执 行 结 
束 后 ， 需 要 回 到 A 里 ， 继 续 执 行 接 下 来 的 指 

令 ” 一 一 只 要 在 锐 调 用 者 的 末尾 下 个 断 点 ， 然 后 一 
直 执 行 “ni* 命 令 ， 束 会 回 到 调用 者 内 部 ， 从 而 发 
现 调 用 者。 还 是 来 操作 一 沉重 复 上 面 的 步 又 ， 
Fi debugserver# t/a z/JMainBinary, HILLDBÍ1E$ 
过 去 ， 直 到 进入 MainBinary 内 部 ， 然 后 查看 
Foundation.framework 的 ASLR 偏 移 ， 如 下 : 


(lldb) image list -o -f 

[ ©] 0x06000c000 
/private/var/tmp/MainBinary(0x0000000000010000) 
[ 1] 0x000c5000 
/Users/snakeninny/Library/Developer/Xcode/iOS 
DeviceSupport/8.1 (12B411)/Symbols/usr/lib/dyld 
[ 2] 0x06db3000 


/Users/snakeninny/Library/Developer/Xcode/iOSDeviceSupport/8 
.1 
(12B411)/Symbols/System/Library/Frameworks/Foundation.framew 
ork/Foundation 


它 的 ASLR 偏 移 是 0x6db3000。 依 图 6-50， 
NSLog 最 后 一 条 指令 的 地 址 是 0x2261ABB6， 
此 ， 在 0x6db3000+0x2261ABB6=0x293CDBB6 上 
下 一 个 断 点 ， 然 后 执行 “c" 命 令 ， 触 发 断 点 ， 如 
下 : 


(lldb) br s -a 0x293CDBB6 
Breakpoint 1: where = Foundation NSLog + 34, address = 
0Ox293cdbb6 
(l1ldb) c 
Process 452269 resuming 
(lldb) 2014-11-30 23:45:37.070 MainBinary[3454:452269] 
iOSRE: 1 
Process 452269 stopped 
* thread #1: tid = Ox6e6ad, Ox293cdbb6 Foundation NSLog + 
34, queue = 'com.apple.main-thread, stop reason = breakpoint 
1.1 
frame #0: Ox293cdbb6 Foundation NSLog + 34 
Foundation NSLog + 34: 
-> 0x293cdbb6: bx lr 
Foundation`NSLogv: 
0x293cdbb8: push {r4, r5, r6, r7, 1r} 
0x293cdbba: add r7, sp, #12 
0x293cdbbc: sub sp, #12 


注意 “->” 上 方 的 文字 ， 它 指示 了 当前 的 模 
块 。 接 春 执行 “ni 命令 ， 如 下 


(1ldb) ni 
Process 452269 stopped 
* thread #1: tid = Ox6e6ad, 0x00017fa6 MainBinary main + 22, 
queue - 'com.apple.main-thread, stop reason - instruction 
step over 
frame #0: 0x00017fa6 MainBinary main + 22 
MainBinary main + 22: 
-> 0x17fa6: movs ro, #0 
Oxi7fa8: movt ro, #0 
Ox17fac: add sp, #12 
Ox17fae: pop {r7, pc} 


tA f MainBinary, 177 f Ox17fa6 ° 
0x17fa6-0xc000=0xbfa6， 对 照 图 6-51， 我 们 找到 
了 NSLog 的 调用 者 TestFunction3。 

两 种 寻找 调用 者 的 方法 都 很 简单 粗 和 又 ， 大 家 
根据 目 己 的 辟 好 随便 选 一 种 丈 可 以 了 。 


6.3.2 ”更 改进 程 执行 逻辑 


为 什么 要 更 改进 程 执 行 逻辑 ? dst LBS TA] 
之 一 是 因为 有 些 时 候 ， 你 想 要 调试 的 代码 需要 满 
足 一 定 的 条 件 才 能 触发 执行 ， 而 这 种 条 件 不 信 助 
外 界 力 量 很 难 重 现 ， 所 以 可 以 更 改进 程 执行 
辑 ， 把 进程 引 寻 辐 目 标 代码 ， 从 而 调运 它们 。 这 
人 句 话 听 起 来 很 抛 口 ， 举 一 个 例子 你 束 消 楚 了 。 看 
下 面 这 样 一 段 代码 : 


// clang -arch armv7 -isysroot xcrun --sdk iphoneos --show- 
sdk-path' -framework Foundation -framework UIKit -o 
MainBinary main.m 

#include <stdio.h> 

#include <dlfcn.h> 

#import <Foundation/Foundation.h> 

#import <UIKit/UIKit.h> 

extern void ImportantAndComplicatedFunction( void) 


NSLog(Q"iOSRE: Suppose I'm a very important and 
complicated function"); 


j 


int main(int argc, char **argv) 


if ([[[UIDevice currentDevice] systemversion] 
isEqualToString:@"8.1.1"]) 
ImportantAndComplicatedFunction(); 

return 0; 


j 


把 这 上 段 代 人 码 存 成 名 为 main.m 的 文件 ， 用 注释 
里 的 那 句 话 编 译 它 ， 然 后 把 MainBinary 找 到 iOS 
的 </var/tmp/” 下 ， 如 下 : 


snakeninnys-MacBook:6 snakeninny$ scp MainBinary 
root@iOSIP:/var/tmp/ 
MainBinary 100%49KB 48.6KB/s 00:00 


SITE, ARU F: 


FunMaker-5:~ root# /var/tmp/MainBinary 
FunMaker-5:~ root# 


因为 笔 首 的 OS 系统 是 8.1， 所 以 目 然 没有 任 
何 输出 。 笔 者 对 ImportantAndComplicated- 
Function 很 感 兴趣 ， 想 动态 调试 已， 但 手头 没有 
8.1.1 的 系统 ， 怎 么 办 呢 ? MASERA, LE 
这 个 函数 得 到 执行 。 下 面 来 损 作 一 过 ， 请 读者 注 
意 观 聚 。 先 把 MainBinary 拖 进 IDA， 定 位 到 


ImportantAndComplicatedFunction#< Val FH Z BATE 
令 ， 如 图 6-52 所 示 。 


然后 用 debugserver 局 动 MainBinary， 用 LLDB 
挂 拉 过去， 直到 进入 MainBinary 内 部 ， 再 查看 
MainBinary 的 ASLR 偏 移 ， 如 下 : 


(lldb) image list -o -f 
[ 0] 0x0000e000 
/private/var/tmp/MainBinary(0x0000000000012000) 


因为 图 6-52 最 上 面 的 那个 “CMP R0,#0” 地 址 是 
0xBF46， 所 以 把 断 点 下 在 
0xbf46+0xe000=0x19F46， 然 后 执行 “co”* 命 令 触 发 
它 ， 然 后 看 看 RO 的 值 ， 如 下 : 


R3 

RO, RO 
RO, #0 
loc BF4E 


RO, $0 
SP, SP, #0x20 
R8, [SP*OxlO*tvar 10],f4 
(RA-R7,PC) 
; End of function main 


text ends 


图 6-52  ImportantAndComplicatedFunction 5-51] ia 
用 之 前 


(lldb) br s -a Ox19F46 
Breakpoint 1: where = MainBinary main + 134, address = 
0x00019f46 
(lldb) c 
Process 456316 resuming 
Process 456316 stopped 
* thread #1: tid = Ox6f67c, 0x00019f46 MainBinary main + 
134, queue - 'com.apple.main-thread, stop reason - 
breakpoint 1.1 
frame #0: 0x00019f46 MainBinary main + 134 
MainBinary main + 134: 
-> Ox19f46: cmp ro, #0 
Ox19f48: beq 0x19f4e ; main + 142 
0x19f4a: bl 0x19ea4 ; 
ImportantAndComplicatedFunction 
Oxi9f4e: movs ro, #0 
(lldb) p $ro 
(unsigned int) $0 = 0 


R0 征 0， 因 此 
ImportantAndComplicatedFunction 得 不 到 执行 。 如 
东 把 R0 改 成 1， 情 况 吏 不 同 了 ， 如 下 : 


(lldb) register write ro 1 

(1ldb) p $rO 

(unsigned int) $1 = 1 

(lldb) c 

Process 456316 resuming 

(lldb) 2014-12-01 00:41:47.779 MainBinary[3482:457105] 
iOSRE: Suppose I'm a very important and complicated function 
Process 456316 exited with status = 0 (0x00000000) 


RI DEDERIS EAA Fa HY OR DOE ETEA 
TIESR, ABS AA » 


6.4 ”小 结 


IDA 和 LLDB 两 大 神 侣 的 作用 当然 不 止 于 本 章 
所 介绍 的 这 些 ， 它 们 的 有 效 围 很 三 ， 小 到 分 析 
App， 大 到 动手 越狱 ， 是 两 蒜 “ 老 少 威 € 冒 ”的 工 
具 。 不 过 ， 相 信和 在 iOS 敢 同 工 程 初级 阶段 ， 大 家 应 
用 它们 的 场合 不 会 超出 本 划 的 内 容 范 围 。 当 然 ， 
就 练 掌握 它们 以 后 ， 对 iOS 的 理解 一 定 会 上 升 到 一 
个 新 的 层次 ; 届时 ， 大 家 了 驶 能 举一反三 ， 根 据 目 
己 的 需求 摸索 它们 的 新 用 法 了 。 在 ARM 汇 编 级 别 
OSEH LAH, (Ate Da RAA R 
4. SileTEhttp://bbs.iosre.com ERAI A RRA 
的 讨论 。 


AKSEBS DATAE A ERR, Bile AT iOS Iu] 
工程 的 基础 。 接 下 来 的 4 章 会 将 本 章 内 容 运 用 到 实 
成 中 去 ， 在 阅读 完 那 些 内 容 之 后 ， 大 家 束 能 根据 
目 己 的 擎 握 情 况 判 断 十 知 难 而 进 ， 还 是 迎 难 而 上 
了 。 无 论 如 何 ， 这 是 一 个 很 有 意思 的 方 喇 ， 能 
多 远 则 完全 看 个 人 的 功 瓜 和 兴趣 了 。 


第 四 部 分 “实战 篇 
.第 7 章 ”实战 1: Characount for Notes 8 


‘Hor ”实战 2: 目 动 将 指定 电子 邮件 标记 为 


第 9 划 ERI: 你 存 与 分 至 微 信 小 视频 
第 10 章 ”实战 4: 检测 与 发 送 iMessage 


前 面 三 个 部 分 重点 介绍 了 iOS 应 用 逆 癌 工程 的 
基本 概念 、 工 具 应 用 和 相关 理论 ， 其 中 罕 插 的 实 
例 有 助 于 增进 大 家 对 iOS 逆 同 工 程 的 了 解 ， 相 信 大 
家 也 部 已 经 感受 到 ， 只 有 把 理论 、 工 具 和 思想 有 
机 结合 ， 才 能 发 挥 敢 同 工 程 的 最 大 威力 。 


FESEMB ERD Zia, IRS HAA A BES ht 
Bii ARES CI f] BPP T ERST. RZ 
种 醋 四 淋漓 的 感觉 。 因 此 在 实战 篇 中 ， 我 们 会 用 4 
个 原创 实例 演示 理论 、 工 具 和 思想 的 有 机 结合 ， 
这 部 分 的 敢 同 目标 是 : 


Characount for Notes 8 

- 目 动 将 指定 电子 邮件 标记 为 已 读 
保存 与 分 圣 微 信 小 视频 

-检测 与 发 送 iMessage 


返 下 来 ， 束 请 进入 本 书 最 精彩 的 部 分 ， 通 过 
一 个 个 精彩 实例 去 感受 iOS 逆 向 工程 的 强大 威力 。 


$7 ”实战 1: Characount for Notes 8 


7.1 im 


iOS 的 备忘录 〈 以 下 简称 Notes) 想必 是 所 有 
果 粉 最 熟悉 的 App 之 一 了 ， 从 iOS 出 生 到 现在 ， 备 
已 孙 的 风格 和 功能 驶 没有 过 大 的 变动 ， 足 见 其 经 
Lo TAY AY VAS AN EEN HT ALE ESAME T EAA 
， 在 笔者 的 Notes 里 记 满 了 目 己 的 小 秘密， 如 图 


7-1 所 示 。 
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~ 


eeeoo HARR > 13:01 


Secret 


Secret 


Secret 


Secret 


Secret 


Secret 


Secret 


Secret 


Secret 


Secret 
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图 7-1 ”Notes 界 面 
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者 都 会 在 Notes 里 编辑 完成 后 ， 再 发 到 相应 的 平台 
上 上 。 因 为 这 类 内 容 都 有 字数 限制 ， 所 以 笔者 也 布 
望 Notes 可 以 多 一 项 乎 采 没 有 提供 的 功能 
每 条 Note 的 字数 。 出 于 目 己 动手 ， 丰 衣 足 食 的 原 
则 ， 笔 者 目 行 开发 了 Characount for Notes, Ee 
笔者 在 iOS 6 时 代 使 用 频率 最 高 的 搬 件 之 一 。 因 为 
它 难 度 不 大 ， 适 合作 为 OS 逆向 工程 初学 者 的 敲 门 
砖 ， 所 以 本 半 的 任务 就 是 在 iOS BLES 
Characount for Notes， 下 面 的 操作 在 iPhone 5， 


显示 


iOS 8.1 中 完成 。 


7.2 ”搭建 tweak 原 型 


在 iOS 8 中 ，Notes 原 始 的 阅 哆 界面 古 这 样 
的 ， 如 图 7-2 所 示 。 


要 在 这 个 界面 显示 这 条 note 的 字数 ， 在 哪里 
显示 比较 好 看 呢 ? 不 知道 你 对 iOS 6 上 的 Notes 有 
没有 印象 ， 那 时 的 每 条 note 都 有 一 个 居中 显示 的 
标题 ， 如 图 7-3 所 示 。 
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图 7-2 iOS 8 的 Notes 阅 览 界面 
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图 7-3 iOS 6f JNotes[?] oi, At [8] 


iOS 8 把 这 个 标题 给 去 掉 了 ， 整 个 导航 栏 显 
空空 水 沪 的 ， 不 如 我 们 束 把 字数 加 在 标题 所 在 的 
位 置 ， 如 图 7-4 所 示 。 


效果 还 不 赖 ! 要 把 Notes 改 造成 这 样 ， 需 要 做 
些 什么 工作 昵 ?还 记得 第 5 章 里 说 过 ， 在 iOS 里 你 
看 见 的 每 个 东西 者 是 一 个 对 象 吗 ? 记 住 这 个 准 
则 ， 一 起 来 思 


1) 每 条 note 都 是 一 个 对 象 ， 了 阅览 弄 面 泗 盖 了 
一 条 note 的 内 容 及 修改 时 间 等 信息 ， 这 些 信息 都 
来 源 于 这 条 note。 赔 唤 界 面 是 一 个 view， 可 以 通 
It nextResponder;B WEI H'controller, H 
controller 又 可 以 访问 note 的 相关 数据 ， 可 以 用 于 
在 刚刚 进入 了 阅览 界面 的 时 候 初 始 化 字数 标题 。 


2) 当 编 辑 一 条 note 时 ， 阅 览 界面 的 右上 方 会 
出 现 一 个 “Done” 的 按钮 ， 如 图 7-5 所 示 。 


Fir “Done” Z Jn, iXnotefj EE ROK ° jX 
个 现象 说 明 一 条 note 在 编辑 过 程 中 是 不 会 实时 体 
人 存 的 ， 不 然 融 不 需要 这 个 按钮 了 。 而 字数 标题 随 
春 内 容 的 编辑 实时 变化 的 效果 是 最 好 的 ， 要 达到 
这 种 效果 ， 束 需要 一 个 实时 监测 note 内 容 变 化 的 
方法 ， 且 要 从 这 个 方法 里 拿 到 当前 的 字 效 ， 实 时 
更 狐 标 题 一 一 因为 这 种 方法 一 般 是 定义 在 protocol 
里 的 ， 所 以 要 留意 各 种 protocol 里 有 没有 出 现 这 类 
ERN o 


3) 如 果 已 经 搞定 了 字数 ， 要 怎么 把 它 放 在 导 
WES EVE? mU controller D z&— ^r 


UIViewController#) F, mj] UIViewController4 — 
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setTitle: n] DÀ f ° 


60000 中 国联 通 e 
< Back 


Secret 


Al7-4 NEF JR P Pd 7 ER 


eecco 中 国联 通 e 13:18 
< Back 


November 28, 2014, 13:11 


bbs.iosre.com 


图 7-5 [59] 527: [8 H3 Done" tzt 


如 果 能 解决 上 面 3 个 问题 ，Characount for 
Notes 的 技术 难点 束 算 全 部 拿 下 。 没 有 更 多 需要 解 
释 的 了 ， 我 们 开始 动手 吧 ~ 


7.2.1 定位 Notes 的 可 执行 文件 


人 在"/Applications/” 下 在 措 了 一 圈 ， 没 有 名 
为 “Notes.app” 的 文件 夹 。 这 种 情况 下 ， 该 怎么 定 
位 Notes 所 在 的 文件 夹 呢 ? 还 记得 在 dumpdecrypted 
章 世 里 找 App 目 孙 的 小 技巧 吗 ? EB, Wize ps 
me: 移 关 抒 所 有 的 App， 人 然后 打开 Notes。 接 着 
ssh 到 iOS 中 ， 用 ps 命令 看 看 当前 有 哪些 进程 来 
E */Applications/", WF: 


FunMaker-5:- root# ps -e | grep /Applications/ 


592 ?? 0:37.70 
/Applications/MobileMail.app/MobileMail 
761 ?? ] 


/Applications/MessagesNotificationViewService.app/MessagesNo 
tificationViewService 


1807 ?? 0:00.55 
/private/var/db/stash/_.29LMeZ/Applications/MobileSafari.app 
/webbookmarksd 

2016 ?? 0:05.23 
/Applications/InCallService.app/InCallService 

2619 ?? 0:02.66 
/Applications/MobileSMS.app/MobileSMS 

2672 ?? 0:01.20 
/Applications/MobileNotes.app/MobileNotes 

2678 ttys000 0:00.01 grep /Applications/ 


其 中 ， 最 可 颖 的 当然 就 是 MobileNotes T, /& 
么 验证 呢 ? k 记 ll 挥 它 ， 看 看 已 经 打开 的 Notes 会 不 
SIAR, UF: 


FunMaker-5:~ root# killall MobileNotes 


Notes RIAINH T, Wi 
HH“/Applications/MobileNotes.app/MobileNotes” Wi 
是 Notes 的 可 执行 文件 ， 而 且 同 时 还 知道 
了 “/Applications/” 下 运行 在 后 台 的 一 些 应 用 。 把 
MobileNotes 拷 贝 到 OSX 中 ， 准 备 class-dump 。 


7.2.2 class-dump 出 MobileNotes 的 头 文 件 


因为 Notes 不 是 从 AppStore 下 载 的 ， 没 有 加 
这， 所 以 可 以 直接 使 用 class-dump， 如 下 : 


snakeninnys-MacBook:- snakeninny$ class-dump -S -s -H 
/Users/snakeninny/Code/iOSSystemBinaries/8.1 iPhone5/MobileN 
otes.app/MobileNotes -o 
/Users/snakeninny/Code/iOSPrivateHeaders/8.1/MobileNotes 


—H'H88 T J-oCfr, TRESTJ RR, GABBA 
现 什 么 ， 如 图 7-6 所 示 。 


= NotesStateArchiving-Protocol.h 
» NotesTextureBackgroundView.h 
») NotesTextureScrolling-Protocol.h 
» NotesTextureView.h 


Dj NoteTextView.h 
» NoteTextViewActionDelegate-Protocol.h 
». NoteTextViewLayoutDelegate-Protocol.h 
月 NoteUserActivityState.h 
& OSX * Bg Users * 4 snakeninny + 并 Code » [iy iOSPrivateHeaders » fy 8.1 * 天 MobileNotes » « NoteTextView.h 


图 7-6  class-dump3 X ft 


看 到 图 7-6 中 选中 的 文件 了 吗 ? BREE, E 
们 现在 不 知道 ， 也 不 用 急于 猜测 ， 结 果 马 上 就 会 
揭晓 了 。 


7.2.3 ”用 Cycript 找 到 阅 史 界面 及 其 controller 


百 斌 不详 的 recursiveDescription 叉 要 派 上 用 场 
T, QF: 


FunMaker-5:~ root# cycript -p MobileNotes 
cy# ?expand 
expand == true 
cy# [[UIApp keyWindow] recursiveDescription ] 
@"<UIWindow: 0x17688db0; frame = (0 0; 320 568); 
gestureRecognizers = «NSArray: 0x17689620>; layer = 
«UIWindowLayer: 0x17688fc0»» 

| «UILayoutContainerView: 0x175bb880; frame = (0 0; 320 
568); autoresize = W+H; layer = «CALayer: 0x175bb900>> 

| | «UILayoutContainerView: 0x17699350; frame - (0 0; 
320 568); clipsToBounds - YES; gestureRecognizers - 
«NSArray: 0x1769cf60>; layer = <CALayer: 0x17699530>> 

| | | «UINavigationTransitionView: 0x176564c0; 
frame = (0 0; 320 568); clipsToBounds = YES; autoresize = 
W+H; layer = «CALayer: 0x17658ec0>> 

| | | | «UIViewControllerWrapperView: 
0x176d13b0; frame = (0 0; 320 568); layer = «CALayer: 
0x176d1530>> 

| | | | | «UILayoutContainerView: 0x1769dd80; 
frame = (0 0; 320 568); clipsToBounds = YES; 
gestureRecognizers = «NSArray: 0x176a16f0»; layer = 


<CALayer: 0x1769de00>> 

| | | | | | «UINavigationTransitionView: 
0x1769ebbO; frame = (0 0; 320 568); clipsToBounds = YES; 
autoresize = W+tH; layer = «CALayer: 0x1769ec40>> 

| | | | | | | 
<UIViewControllerWrapperView: 0x175109e0; frame = (0 0; 320 
568); layer = <CALayer: 0x175109b0>> 

| | | | | | | | 
«NotesBackgroundView: 0x175ee3e0; frame = (0 0; 320 568); 
gestureRecognizers = «NSArray: 0x17510a70>; layer = 
«CALayer: 0x175ee580>> 

| | | | | | | | | 
«NotesTextureBackgroundView: 0x175ee5b0; frame = (0 0; 320 
568); clipsToBounds = YES; layer = <CALayer: 0x175ee630>> 

| | | | | | | | | | 
<NotesTextureView: 0x175ee940; frame = (0 -64; 320 640); 
layer = <CALayer: 0x175ee9c0>> 

| | | | | | | | | 
«NoteContentLayer: 0x176c5110; frame = (0 0; 320 568); layer 
= «CALayer: 0x176ca850»» 

| | | | | | | | | | <UIView: 
0x175f2130; frame = (16 0; 288 0); hidden = YES; layer = 
<CALayer: 0x175dd2b0>> 

| | | | | | | | | | 
«NotesScrollView: 0x175f2a10; baseClass = UIScrollView; 
frame = (0 0; 320 568); clipsToBounds = YES; 
gestureRecognizers = <NSArray: 0x175f1b70>; layer = 
«CALayer: 0x175f28d0>; contentOffset: (0, -64}; contentSize: 
{320, 460}> 

| | | | | | | | | | | 
«UIView: 0x175f09a0; frame = (0 0; 320 0); layer = «CALayer: 
0x175f2790»» 

| | | | | | | | | | | 
«UIView: 0x175f27e0; frame = (0 0; 0 460); layer = <CALayer: 
0x175f2850»» 

| | | | | | | | | | 
<NoteDateLabel: 0x175f3400; baseClass = UILabel; frame = (69 
5.5; 182 18); text - 'November 24, 2014, 20:44'; 
userInteractionEnabled = NO; layer = <_UILabelLayer: 
Ox175f3560»» 

| | | | | | | | | | | 
«NoteTextView: 0x175ee3e0; baseClass = 
_UICompatibilityTextView; frame = (6 28; 308 418); text = 
'Secret'; clipsToBounds - YES; gestureRecognizers - 
«NSArray: 0x176c7ed0>; layer = «CALayer: 0x176d88e0>; 


contentOffset: (0, 0); contentSize: (308, 52)» 


RERS —NoteTextView, H*Secret" H 


位 于 其 中 。 持 续 调 用 nextResponder， 找 出 它 的 
controller, 40 F: 


cy# [#0x175ee3e0 nextResponder] 

#"<NotesScrollView: 0x17d307c0; baseClass = UIScrollView; 
frame = (0 0; 320 568); clipsToBounds = YES; 
gestureRecognizers = <NSArray: 0x17e502a0>; layer = 


«CALayer: 0x17d30b60>; contentOffset: (0, -64}; contentSize: 


{320, 251}>" 

cy# [40x17d307c0 nextResponder | 

#"<NoteContentLayer: 0x17e505b0; frame = (0 0; 320 568); 
layer = «CALayer: 0x17e50470>>5" 

cy# [40x17e505b0 nextResponder] 


#"<NotesBackgroundView: 0x17e52320; frame = (0 0; 320 568); 


gestureRecognizers = <NSArray: 0x17d0c940>; layer = 
<CALayer: 0x17e522f0>>" 

cy# [#0x17e52320 nextResponder | 
#"<NotesDisplayController: 0x17edc340>" 


好 的 ， 了 驶 是 NoteDisplayController 了 。 看 看 如 
下 直接 调用 setTitle: 能 否 改 变 阅览 界面 的 标题 Ej. 


cy# [#0x17edc340 setTitle:@"Characount = Character count" | 


效果 如 图 7-7 所 示 。 
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图 7-7 ”setTitle: 的 效果 


没有 任何 问题 ， 第 一 目标 达成 ! 


7.24 从 NoteDisplayController 找 到 当前 note 对 象 


趁 热 打铁 ， 到 NoteDisplayControllerh 里 看 看 
EEX, WF: 


Qinterface NotesDisplayController : UIViewController 
«NoteContentLayerDelegate, UlActionSheetDelegate, 
AFContextProvider, UIPopoverPresentationControllerDelegate, 
UINavigationControllerDelegate, 
UIImagePickerControllerDelegate, 
NotesQuickLookActivityItemDelegate, 
ScrollViewKeyboardResizerDelegate, NSUserActivityDelegate, 
NotesStateArchiving» 


Qproperty(nonatomic, getter-isVisible) BOOL visible; // 
Qsynthesize visible- visible; 

- (void)loadView; 

Qproperty(retain, nonatomic) NoteObject *note; // 
Qsynthesize note- note; 


文件 的 内 容 很 多 ， 通 览 之 后 ， 我 们 发 现 了 一 
个 NoteObject 类 型 的 属性 。 叶 说 一 个 note 束 是 一 个 


WR, {ANoteObjecth AIRE Ce Ae, AAA T 
ie 在 Cycript 里 把 它 打 印 出 来 看 看 ， 如 下 : 


cy# [#0x17edc340 note] 

#'<NoteObject: 0x176aa170» (entity: Note; id: 0x176a9040 <x- 
coredata://A4B88CC7C-7A5F-4F15-9275-53C6DOABEOC3/Note/p15» ; 
data: (^n attachments - (^n );^n author - 
nil;\n body = "0x176a8b20 <x-coredata://4B88CC7C- 7A5F - 
4F15-9275-53C6DOABEOC3/NoteBody/p15»" ; ^n containsCJK - 

0; ^n contentType = 0;\n creationDate = "2014-11-24 
05:00:59 +0000";\n deletedFlag = 0;\n externalFlags = 
0; \n externalSequenceNumber = 0;\n externalServerIntId 
= "-4294967296";\n guid = "781B6C87-2855-4512-8864- 
50618754333A";\n integerId = 3865;\n 

isBookkeepingEntry = 0;\n modificationDate = "2014-11-24 
12:44:08 +0000";\n serverId = nil;\n store = 
"0x175a2b60 <x-coredata://4B88CC7C- 7A5F-4F15-9275- 
53C6DOABEOCS3/Store/p1»" ;^n summary = nil;\n title = 
Secret; \n})' 


很 明显，NoteObject 束 是 当前 显示 的 note， 各 
个 字段 含义 都 比较 清晰 ， 现 在 去 看 看 它 的 定义 ， 
如 下 : 


Qinterface NoteObject : NSManagedObject 
t 


} 

- (BOOL)belongsToCollection:(id)argi; 

@property(nonatomic) unsigned long long sequenceNumber; 

- (BOOL)containsAttachments; 

Qproperty(retain, nonatomic) NSString *externalContentRef; 


Qproperty(retain, nonatomic) NSData *externalRepresentation; 
Qproperty(readonly, nonatomic) BOOL hasValidServerIntId; 
@property(nonatomic) long long serverIntId; 
Qproperty(nonatomic) unsigned long long flags; 
Qproperty(readonly, nonatomic) NSURL *noteId; 
Qproperty(readonly, nonatomic) BOOL 
isBeingMarkedForDeletion; 

Qproperty(readonly, nonatomic) BOOL isMarkedForDeletion; 

- (void)markForDeletion; 

Qproperty(nonatomic) BOOL isPlainText; 

- (id)contentAsPlainTextPreservingNewlines; 
Qproperty(readonly, nonatomic) NSString *contentAsPlainText; 
Qproperty(retain, nonatomic) NSString *content; 

// Remaining properties 

Qproperty(retain, nonatomic) NSSet *attachments; // Qdynamic 
attachments; 

Qproperty(retain, nonatomic) NSString *author; // Qdynamic 
author; 

Qproperty(retain, nonatomic) NoteBodyObject *body; // 
Qdynamic body; 

Qproperty(retain, nonatomic) NSNumber *containsCJK; // 
Qdynamic containsCJK; 

Qproperty(retain, nonatomic) NSNumber *contentType; // 
Qdynamic contentType; 

Qproperty(retain, nonatomic) NSDate *creationDate; // 
Qdynamic creationDate; 

Qproperty(retain, nonatomic) NSNumber *deletedFlag; // 
Qdynamic deletedFlag; 

Qproperty(retain, nonatomic) NSNumber *externalFlags; // 
Qdynamic externalFlags; 

Qproperty(retain, nonatomic) NSNumber 
*externalSequenceNumber; // Qdynamic externalSequenceNumber; 
Qproperty(retain, nonatomic) NSNumber *externalServerIntId; 
// Qdynamic externalServerIntId; 

@property(readonly, retain, nonatomic) NSString *guid; // 
Qdynamic guid; 

Qproperty(retain, nonatomic) NSNumber *integerId; // 
Qdynamic integerId; 

Qproperty(retain, nonatomic) NSNumber *isBookkeepingEntry; 
// Qdynamic isBookkeepingEntry; 

Qproperty(retain, nonatomic) NSDate *modificationDate; // 
Qdynamic modificationDate; 

Qproperty(retain, nonatomic) NSString *serverlId; // Qdynamic 
serverId; 

Qproperty(retain, nonatomic) NoteStoreObject *store; // 


@dynamic store; 

Qproperty(retain, nonatomic) NSString *summary; // @dynamic 

ashes Cee nonatomic) NSString *title; // @dynamic 

title; 

@end 

非常 好 ， 这 么 多 的 property 表 明 NoteObject 是 

个 非常 标准 的 model。 如 何 获取 它 的 文字 内 容 呢 ? 
在 上 面 的 代码 中 ， 看 到 了 一 个 名 为 
contentAsPlainText 的 property， 像 下 面 这 样 调 用 它 
TUB ET ARR: 


cy# [#0x176aa170 contentAsPlainText | 
@"Secret" 


为 了 进一步 确认 ， 改 一 下 这 条 note 的 文学 ， 
再 配 一 张 图 ， 如 图 7-8 所 示 。 
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Al7-8 ”重新 编辑 这 条 note 


v 


SK Jc E TUS HjcontentAsPlainText, 4 P: 


cy# [40x176aa170 contentAsPlainText] 
Q"bbs.iosre.com" 


基本 可 以 确定 这 个 函数 能 够 正确 返回 当前 
note 的 文字 内 容 了 ， 对 它 调用 length 束 可 以 拿 天 这 
条 note 的 文字 个 数 ， 如 下 : 


cy# [[40x176aa170 contentAsPlainText] length] 
13 


X Hin HUES, METRO, JEU 


nM 


XE ! 


7.2.5 ”找到 实时 监测 note 内 容 变 化 的 方法 


在 本 章 开 头 部 分 已 经 提 到 , “实时 监测 note 内 
容 变 化 的 方法 一 般 是 定义 在 protocol 里 的 ”。 因 为 
设置 标题 的 钞 数 ， 以 及 获取 note 对 象 的 操作 都 古 
通过 NotesDisplayController 类 完成 的 ， 所 以 如 果 能 


在 这 个 类 里 找到 一 个 符合 条 件 的 方法 ， 那 另 两 项 
操作 就 可 以 放 在 这 个 方法 里 完成 了 ， 可 以 极 大 地 
简化 代码 。 打 开 NotesDisplayController.h， 看 看 它 
实现 了 哪些 协议 ， 如 下 : 


Qinterface 


NotesDisplayController:UIViewController«NoteContentLayerDele 
gate, UIActionSheetDelegate, AFContextProvider, UIPopoverPresen 
tationControllerDelegate, UINavigationControllerDelegate, UIIm 
agePickerControllerDelegate, NotesQuickLookActivityItemDelega 


te, ScrollViewKeyboardResizerDelegate,NSUserActivityDelegate, 
NotesStateArchiving» 


H rHUIActionSheetDelegate ^ 
UIPopoverPresentationControllerDelegate ^ 
UINavigation-ControllerDelegate ^ 
UIImagePickerControllerDelegate 都 是 公开 协议 , 
明显 跟 note 内 容 的 变化 没关系 ， 可 以 直接 排除 挥 
T ° X| FHyNoteContentLayerDelegate ^ 


AFContextProvider ^ NotesQu- 
ickLookActivityItemDelegate ^ 

Scroll ViewKeyboardResizerDelegate ^ 
NSUserActivityDelegate 和 NotesStateArchiving 都 不 
能 轻易 放 过 ， 需 要 逐个 排查 。 先 看 
NoteContentLayerDelegate-Protocol.h， 如 下 : 


@protocol NoteContentLayerDelegate <NSObject> 

- (BOOL)allowsAttachmentsInNoteContentLayer:(id)arg1; 

- (BOOL)canInsertImagesInNoteContentLayer:(id)arg1; 

- (void)insertImageInNoteContentLayer: (id)arg1; 

- (BOOL)isNoteContentLayerVisible:(id)arg1; 

- (BOOL)noteContentLayer:(id)argi 
acceptContentsFromPasteboard: (id)arg2; 

- (BOOL)noteContentLayer:(id)argi 
acceptStringIncreasingContentLength: (id)arg2; 

- (BOOL)noteContentLayer: (id)arg1 
canHandleLongPressOnElement:(id)arg2; 

- (void)noteContentLayer:(id)argi containsCJK:(BOOL)arg2; 
- (void)noteContentLayer:(id)argi 
contentScrollViewWillBeginDragging:(id)arg2; 

- (void)noteContentLayer:(id)argi didChangeContentSize: 
(struct CGSize)arg2; 

- (void)noteContentLayer:(id)arg1 handleLongPressOnElement : 
(id)arg2 atPoint:(struct CGPoint )arg3; 

- (void)noteContentLayer:(id)arg1 setEditing: (BOOL)arg2 
nimated:(BOOL)arg3; 

- (void)noteContentLayerContentDidChange:(id)argi 
updatedTitle:(BOOL)arg2; 

- (BOOL)noteContentLayerShouldBeginEditing:(id)argi; 
Qoptional 


- (void)noteContentLayerKeyboardDidHide:(id)arg1; 
Qend 


其 中 ， 
noteContentLayer:didChangeContentSize: 和 
noteContentLayerContentDidChange:u-pdatedTitle: 
这 两 个 方法 有 些 可 疑 ， 编 辑 一 条 note 时 ， 这 条 note 
的 内 容 和 内 容 所 占 的 矿 才 都 在 实时 变化 ， 因 此 这 
两 个 方法 确实 有 被 实时 调用 的 可 能 性 。 和 查看 
NotesDisplayController.h， 这 两 个 协议 方法 也 都 被 
实现 了 。 为 了 确定 它们 有 没有 被 实时 调用 ， 考 虑 
用 LLDB 难 证 一 下 。 


用 LLDB 附 加 MobileNotes， 看 看 MobileNotes 
WASLR its, UF: 


(lldb) image list -o -f 

[ 0] 0x00035000 

/private/var/db/stash/ .29LMeZ/Applications/MobileNotes.app/ 
MobileNotes(0x0000000000039000) 


[ 1] 0x00197000 
/Library/MobileSubstrate/MobileSubstrate.dylib 
(0x0000000000197000 ) 

[ 2] 0x06db3000 
/Users/snakeninny/Library/Developer/Xcode/iOS 
DeviceSupport/8.1 
(12B411)/Symbols/System/Library/Frameworks/QuickLook.framewo 
rk/QuickLook 


ASLR (li 7£0x35000 ° #4 Ja T. MobileNotesf 
进 IDA， 行 初始 分 析 完 成 后 ， 查 看 [NotesDisplay- 
Controller 
noteContentLayer:didChangeContentSize: | fT 
[NotesDisplayController noteContent-LayerContent- 
DidChange:updatedTitle:] 的 基地 址 ， 如 图 7-9 和 图 


7-10 所 示 。 


DOOIE ; 
text 100016270 


text:00016E70 ; void cdecl -[NotesDisplayController noteContentLayer:didChangeContontSizoe:](st 
text:00016E70 — NotesDisplayController noteContentLayer dídChangeContentSize - 

text :00016E70 ; DATA XREF: objc const:0004C68 
text:00016E70 Rl, $(selRef reloadSearchedTermHighlight ~ < 
toext:00016E78 R1, PC ; — Tet cem e p T RE 
text:00016E7A R1, [R1] ; "x adSearchedTerzmHigh 

text :00016£7C . j je magsend 

text:00016E7C ; End of function -[NotesDisplayCon ContentLayer: didChangeContentSize: ] 


图 7-9  [NotesDisplayController 


noteContentLayer:didChangeContentSize:] 
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text :0001AEB8 void — cdecl -[NotesDis Mun noteContentLaye qp n rc wig updatedTitle:](st 
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图 7-10  [NotesDisplayController 


noteContentLayerContentDidChange:updatedTitle:] 


两 者 的 基地 址 分 别 是 0x16E70 和 0x1AEB8， 
因此 断 点 地 址 分 别 是 0x4BE70 和 0x4FEB8。 下 2 个 
断 点 ， 然 后 随便 打开 一 条 note 并 编辑 它 ， 看 看 断 
ARDRE, WF: 


(lldb) br s -a Ox4BE70 

Breakpoint 1: where = 
MobileNotes`_ lldb unnamed function382$$MobileNotes, 
address = 0x0004be70 

(lldb) br s -a Ox4FEB8 

Breakpoint 2: where - 

MobileNotes' . lldb unnamed function458$$MobileNotes, 
address = 0x0004feb8 


你 得 到 的 结 采 肯定 跟 笔 者 的 一 模 一 样 一 一 2 个 
断 点 都 会 被 触发 很 多 次 ! 协议 方法 被 调用 ， 一 般 
是 因为 方法 名 中 提 到 的 那个 事件 发 生 了 ; 而 那 件 
事 发 生 的 对 象 ， 一 般 是 协议 方法 的 参数 。 在 当前 
情况 下 ， 则 表明 发 生 了 didChangeContentSize 和 
ContentDidChange3*ft, TfjcontentZ& EF fR H] HER 
EBM o BOBOKBCBUANT ERATES — A IDE 
TA; T: 


(lldb) br com add 1 

Enter your debugger command(s). Type 'DONE' to end. 
> po $r2 

> C 

> DONE 

(lldb) br com add 2 

Enter your debugger command(s). Type 'DONE' to end. 
> po $r2 

> C 

> DONE 

(1ldb) c 


可 以 看 到 ， 输 出 中 有 很 多 的 
NoteContentLayer， 如 下 : 


Process 24577 resuming 

Command #2 'c' continued the target. 

«NoteContentLayer: Oxi4ecdf50; frame = (0 0; 320 568); 
animations = { bounds.origin-«CABasicAnimation: Ox16fee090»; 
bounds.size-«CABasicAnimation: Oxi16fee4a0»; position- 
«CABasicAnimation: Oxi16fee500»; }; layer = «CALayer: 
0x14eca900>> 

Process 24577 resuming 

Command #2 'c' continued the target. 

«NoteContentLayer: 0x14ecdf50; frame = (0 0; 320 568); 
animations = { bounds.origin-«CABasicAnimation: Ox16fee090»; 
bounds.size-«CABasicAnimation: Oxi6fee4a0»; position= 
«CABasicAnimation: 0x16fee500>; }; layer = <CALayer: 
0x14eca900>> 

Process 24577 resuming 

Command #2 'c' continued the target. 

«NoteContentLayer: Oxi14ecdf50; frame = (0 0; 320 568); layer 
= «CALayer: 0x14eca900>> 

Process 24577 resuming 

Command #2 'c' continued the target. 


既然 能 拿 到 NoteContentLayer， 多 半 能 够 从 中 
获取 NoteContent。 打 开 NoteContentLayer.h， 看 看 
它 提 供 了 些 什么 方法 ， 如 下 : 


Qinterface NoteContentLayer : UIView 
«NoteTextViewActionDelegate, Note TextViewLayoutDelegate, 
UITextViewDelegate> 


Qproperty(retain, nonatomic) NoteTextView *textView; // 
Qsynthesize textView- textView; 


NoteContentLayer 有 一 个 NoteTextView 有 的 属 
性 ， 而 在 本 章 的 开头 ， 用 Cycript 打 印 UI 层 次 的 时 
(ie, RM Rote MCF Wize se 7 TENoteText View 
ZEN ° SE Pra. FENoteTextViewt] 
印 出 来 看 看 ， 如 下 : 


(lldb) br com add 1 

Enter your debugger command(s). Type 'DONE' to end. 
> po [$r2 textView] 

>Cc 

> DONE 

(lldb) br com add 2 

Enter your debugger command(s). Type 'DONE' to end. 
> po [$r2 textView] 

>Cc 

> DONE 


然后 继续 编辑 这 条 note， 发 现 对 note 文 字 的 改 
动 全 都 体现 在 了 LLDB 的 输出 上 ， 如 下 : 


Process 24577 resuming 

Command #2 'c' continued the target. 

«NoteTextView: 0x15aace00; baseClass = 
_UICompatibilityTextView; frame = (6 28; 308 209); text = 
'Secre'; clipsToBounds - YES; gestureRecognizers - «NSArray: 
Oxi4eddfcO»; layer = «CALayer: 0x14ee7da0»; contentOffset: 
(0, ©}; contentSize: (308, 52}> 

Process 24577 resuming 

Command #2 'c' continued the target. 

«NoteTextView: 0x15aace00; baseClass = 
_UICompatibilityTextView; frame = (6 28; 308 209); text = 
'Secret'; clipsToBounds - YES; gestureRecognizers - 
«NSArray: Oxi4eddfcO»; layer = «CALayer: 0x14ee7da0>; 
contentOffset: (0, 0); contentSize: (308, 52)» 


最 后 一 个 步骤 ， 束 是 从 NoteTextView 拿 到 


text。 打 开 NoteTextViewh， 如 下 : 


Qinterface NoteTextView : _UICompatibilityTextView 
<UIGestureRecognizerDelegate> 
E 
id «NoteTextViewActionDelegate»  actionDelegate; 
id «NoteTextViewLayoutDelegate»  layoutDelegate; 


@property(nonatomic) | weak id <NoteTextViewActionDelegate> 
actionDelegate; // Qsynthesize 
actionDelegate- actionDelegate; 
Qproperty(nonatomic) | weak id <NoteTextViewLayoutDelegate> 
layoutDelegate; // Qsynthesize 
layoutDelegate- layoutDelegate; 


'BJSCHIGEANI&, [B E TRUE text HE 
的 ， 是 2 个 delegate， 显 然 不 会 返回 NSString 对 象 。 
text 不 在 它 目 己 实现 里 ， 束 一 定 在 它 的 父 类 里 ， 打 
开 _UICompatibilityTextView.h， 如 下 : 


@interface _UICompatibilityTextView : UIScrollView 
«UITextLinkInteraction, UITextInput> 

Qproperty(nonatomic) int textAlignment; 

Qproperty(copy, nonatomic) NSString *text;- (BOOL)hasText; 
Qproperty(retain, nonatomic) UIColor *textColor; 
Qproperty(retain, nonatomic) UlFont *font; 

Qproperty(copy, nonatomic) NSAttributedString 
*attributedText; 


原来 text 在 这 里 。 用 LLDB 做 最 后 的 确认 ， 如 
下 : 


(lldb) br com add 1 

Enter your debugger command(s). Type 'DONE' to end. 
» po [[$r2 textView] text] 

>Cc 

> DONE 

(lldb) br com add 2 

Enter your debugger command(s). Type 'DONE' to end. 
> po [[$r2 textView] text] 

>Cc 

> DONE 


Secret 

Process 24577 resuming 

Command #2 'c' continued the target. 
Secret i 

Process 24577 resuming 

Command #2 'c' continued the target. 


至此， 我 们 成 功 找到 了 2 个 实时 监测 note 和 内容 
变化 的 方法 (随便 选 一 个 束 好 了 ， 我 们 选 第 二 
个 ) , 并且 可 以 拿 到 note 的 实时 文本 数据 ， 早 前 
设计 的 3 个 功能 现在 已 经 全 部 实现 。 不 难 吧 ? 


7.3. WR ERE 


本 章 的 实例 是 针对 iOS 系 统 App 的 ， 在 完全 脱 
离 IDA， 仅 赁 Cycript 和 LLDB 的 情况 下 就 可 实现 相 
应 的 功能 (其 实 这 里 是 用 LLDB 做 了 hook 的 工 
作 ， 换 用 Theos 可 达到 同样 效果 ) ， 虽 然 有 一 定 的 

运气 成 分 ， 但 这 也 正体 现 了 好 同 工 程 的 不 确定 
性 。 为 了 完成 Characount for Notes 8， 我 们 的 大 致 
思路 是 下 面 这 样 的 。 


1. 在 界面 上 村 找 适 合 显示 字数 的 地 方 和 方法 


Notes 从 iOS 6 演变 到 iOS 8 时 ， 原 来 的 标题 给 
变 没 了 ， 正 好 给 我 们 留 下 了 一 个 显示 字数 的 地 
方 。 本 章 从 note 阅 览 界面 入 手 ， 通 过 Cycript 拿 到 


NoteDisplayController， 成 功 搞 定 显示 字数 的 方 
法 。 


2. 浏 览 class-dump 出 的 头 文 件 ， 在 controller 类 里 找 
到 访问 model 的 方法 


通过 controller 访 问 model 是 MVC 设 计 标准 里 
规定 时 ， 平 条 目 身 出 品 鸭 App 一 定 会 遵守 这 个 标 
准 ， 因 此 在 NoteDisplayController 里 一 定 能 找到 访 
加 model 的 方法 。 我 们 仅仅 通过 浏 损 头 文 件 ， 用 
Cycriptilll i n] SERE TE, GEE f NoteObject, 

从 而 拿 到 了 一 条 note 的 字数 。 


3. 在 protocol 里 寻找 实时 监测 字 效 变化 的 方法 


实时 调用 的 函数 一 般 定 义 在 protocol 中 ， 因 为 
Objective-C 的 函数 名 可 读 性 高 ， 所 以 我 们 没有 严 


EHE HHIDAAILLDB2E HE BESS SAY Us DU BUE 
ITE, MWEE T S&H protocol EE THIS AM 
件 ， 人 工 第 选 后 再 用 LLDB 测 试 ， 结 果 很 快 就 找 
到 了 满足 要 求 的 方法 。 运 气 也 好 ， 猜 测 也 喷 ， 这 
就 是 逆向 工程 的 魅力 所 在 。 


7.4 编写 tweak 


本 半 的 例子 比较 简单 ， 所 有 的 操作 都 可 以 在 
NotesDisplayController 一 个 类 中 完成 。 


7.4.1 HiTheosSit£&tweak T. 


f£*CharacountForNotes8" 


3r f&CharacountForNotes8 LEIMA Al F: 


snakeninnys-MacBook:Code snakeninny$ /opt/theos/bin/nic.pl 
NIC 2.0 - New Instance Creator 


[1.] iphone/application 

[2.] iphone/cydget 

[3.] iphone/framework 

[4.] iphone/library 

[5.] iphone/notification center widget 
[6.] iphone/preference bundle 

[7.] iphone/sbsettingstoggle 

[8.] iphone/tool 

[9.] iphone/tweak 


[10.] iphone/xpc service 
Choose a Template (required): 9 
Project Name (required): CharacountForNotes8 
Package Name [com.yourcompany.characountfornotes8]: 
com.naken.characountfornotes8 


Author/Maintainer Name [snakeninny]: snakeninny 
[iphone/tweak] MobileSubstrate Bundle filter 
[com.apple.springboard]: com.apple.mobilenotes 
[iphone/tweak] List of applications to terminate upon 


installation (space-separated, '-' for none) [SpringBoard]: 
MobileNotes 

Instantiating iphone/tweak in characountfornotes8/... 

Done. 


7.4.0 ”构造 CharacountForNotes8.h 


编辑 后 的 CharacountForNotes8.h 内 容 如 下 : 


Qinterface NoteObject : NSObject 

Qproperty (readonly, nonatomic) NSString 
*contentAsPlainText; 

Qend 

Qinterface NoteTextView : UIView 

@property (copy, nonatomic) NSString *text; 

Qend 

Qinterface NoteContentLayer : UIView 

Qproperty (retain, nonatomic) NoteTextView *textView; 
Qend 

Qinterface NotesDisplayController : UIViewController 
Qproperty (retain, nonatomic) NoteContentLayer 
*contentLayer; 

Qproperty (retain, nonatomic) NoteObject *note; 

Qend 


这 个 头 文件 的 所 有 内 容 均 摘 目 类 对 应 的 头 文 
件 ， 构 造 它 的 目的 仅仅 是 通过 编译 ， 避 免 任何 报 


HAE E ° 


7.4.3 9g E Tweak.xm 


编辑 后 的 Tweak.xm 内 容 如 下 : 


#import "CharacountForNotes8.h" 

%hook NotesDisplayController 

- (void)viewwWillAppear: (BOOL)arg1 // Initialze title 
self.note.contentAsPlainText; 


= [NSString 
(unsigned long)[content length]]; 


t . 
?60rig; 
NSString *content 
NSString *contentLength 
stringwithFormat:@"%lu", 
self.title = contentLength; 

- (void)viewDidDisappear:(BOOL)arg1 // Reset title 


?60rig; 
self.title - nil; 
- (void)noteContentLayerContentDidChange: (NoteContentLayer 


} 
*)argi updatedTitle:(BOOL)arg2 // Update title 
self.contentLayer.textView.text; 


- [NSString 
(unsigned long)[content length]]; 


?60rig; 
NSString *content 
NSString *contentLength 


stringwWithFormat:@"%lu", 
= contentLength; 


self.title = 


j 


%end 


7.4.4 编辑 Makefile 及 control 


编辑 后 的 Makefile 内 容 如 下 : 


THEOS DEVICE IP = iOSIP 
ARCHS = armv7 arm64 
TARGET = iphone: latest:8.0 
include theos/makefiles/common.mk 
TWEAK NAME - CharacountForNotes8 
CharacountForNotes8 FILES - Tweak.xm 
include $(THEOS MAKE PATH)/tweak.mk 
after-install:: 

install.exec "killall -9 MobileNotes" 


编辑 后 的 control 内 容 如 下 : 


Package: com.naken.characountfornotes8 
Name: CharacountForNotes8 

Depends: mobilesubstrate, firmware (»- 8.0) 
Version: 1.0 

Architecture: iphoneos-arm 

Description: Add a character count to Notes 
Maintainer: snakeninny 

Author: snakeninny 

Section: Tweaks 

Homepage: http://bbs.iosre.com 


7.4.5 测试 


将 写 好 的 tweak 编 译 打 包 安 装 到 iOS 后 ， 打 开 
Notes 随 便 编辑 一 条 note， 查 看 标题 的 字数 变化 是 
否 可 做 a 到 完全 实时 ， 如 图 7-11 人 至 图 7-17 所 示 。 
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图 7-11  Characount for Notes 8 效果 演示 (1) 
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图 7-12 Characount for Notes 8 效果 演示 (2) 
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图 7-13 ”Characount for Notes 8 效果 演示 (3) 
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图 7-14 Characount for Notes 8 效果 演示 (4) 
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[7-15  Characount for Notes 8 效果 演示 (5) 
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17-16  Characount for Notes 8 效果 演示 (6) 
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图 7-17 Characount for Notes 8 效果 演示 (7) 


捅 件 的 才 现 与 预期 完全 一 致 。 


7.5 4 


作为 OS 上 的 元 老 ，Notes 的 功能 虽然 简单 ， 
它 却 是 很 多 人 日 第 生活 中 使 用 频 度 最 高 的 App 之 
一 。 本 章 编写 的 Characount for Notes 8 功能 比较 简 
单 ， 几 乎 可 以 脱离 高 级 提问 工程 工具 来 完成 整个 
分 析 过 程 ， 硕 望 初 学 痢 看 起 来 不 会 太 吃力 。 沪 编 
级 别 的 逆向 工程 学 习 起 来 难度 较 大 ， 需 要 的 时 间 
MARE, TEXJIDATILLDBXTEU SEED , 
PTAA BR ATA, Wtf Objective- 
Cm] LE, Boal bose el Cee Bee, Xe 
bts B Cee Vb BAUR, AR TE ANA? 


Bee ”实战 2; BDSERHBÁAERSSTHBMTENO 
为 已 读 


8.1 电子 邮件 


电子 邮件 是 互联 网 时 代 最 受 欢 迎 的 沟通 渠 韦 
之 一 ， 很 多 人 每 天 者 会 收发 邮件 。 虽 然 AppStore 
上 有 很 多 优秀 的 邮件 App 可 供 选 择 ， 如 Sparrow、 
Inbox 等 ， 但 论 及 与 iD0S 的 整合 度 ， 终 完 疫 有 原生 
邮件 客户 端 〈 以 下 简称 Mail) 那样 高 ， 因 此 在 笔 
者 的 日 闻 使 用 中 ，Mail 仍 是 首选。 


在 我 们 日 第 收 到 的 邮件 里 ， 很 大 一 部 分 是 没 
有 太 多 价值 的 “订阅 ”邮件 一 一 它们 要 么 是 活动 通 
知 ， 要 么 是 软文 广告 一 一 这 些 邮 件 都 是 我 们 在 各 


种 网 站 上 无 意 间 勾 选 “订阅 ?而 收 到 的 ， 如 图 8-1 所 


一 一 人 


AN? 
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的 垃圾 邮件 ， 却 容易 分 散 注 意 力 ; 可 是 把 它们 标 
记 为 垃圾 邮件 吧 ， 驻 有 可 能 销 过 有 价值 的 信息 。 
那么 该 怎样 处 理 这 一 类 介 于 正常 邮件 和 垃圾 邮件 
之 加 的 邮件 呢 ? 笔者 有 一 个 想法 : 给 Mail 加 一 个 
日 名 单 功能 ， 把 常用 联系 人 加 入 日 名 单 ;， 来 目 日 
名 单 以 外 的 邮件 全 都 目 动 标记 为 已 读 ， 这 样 束 能 
在 不 遗漏 信息 的 情况 下 突出 重点 ， 如 图 8-2 所 示 。 


把 这 个 想法 给 具体 化 ， 束 是 本 章 的 任务 。 


1) 在 Mail 界 面 上 的 某 个 地 方 加 个 按钮 ， 点 击 
后 出 现 可 编辑 的 日 名 单列 表 ， 以 便 进 行 添 加 、 删 


除 日 名 单 操 作 。 


2) 每 次 Mail 的 收 件 箱 刷新 后 ， 自 动 把 白 名 单 
以 外 的 邮件 标记 为 已 读 。 


明确 了 本 章 的 任务 ， 接 下 来 就 一 步 步 地 实现 
目标 。 下 面 的 操作 在 iPhone 5, iOS 8.1.1 中 完成 。 
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图 8-1 邮件 
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招商 银行 Wednesday 
招行 爱 家 季 -Lifevc 购 物 满 268 减 20!AD) 

如 果 邮 件 无 法 正常 尼 示 ,请 点 击 这 里 <http:// 
www.cmbchina.com/Personal/Promotion/Prmotionl... 


e 印象 笔记 团队 Wednesday 
重要 提示 : 请 更 新 你 的 印象 笔记 Mac 版 
gu SURE 请 更 新 你 的 印象 笔记 Mac hk ## 我 们 注 
意 到 你 当前 使 用 的 印象 笔记 Mac 版 并 不 是 最 新 版 ， 请 ..， 


SegmentFault 问 答 社区 Wednesday 
12 月 热门 活动 推荐 


SegmentFault * 广播 站 <http://segmentfault.com> 访 
问 网 站 3. fp ee oboe [SegmentFault... 


Facebook Wednesday 
Iris Ning 更 新 了 状态 : "I'm finaly here! Can't wait to.. 


阿里 云 计 算 Wednesday 
HEZ [1218] FRA: Y 12.18 抢 云 服 务 器 ， 满 5... 
[阿里 云 ] «httpz//www.altyun.com/? 
spm=&msctype=email&mscmsgid=1424141210002.. 


Today on Twitter Wednesday 
Q. and A. About the C.I.A. Torture Report; More tha... 
Today on Twitter Q. and A. About the C.I.A. Torture 
Report https://twitter.com/ExploringBird/timelines/5... 


Facebook Wednesday 
Sam, (4782 条 新 通知 


Updated Just Now [4 
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图 8-2 ”把 白 名 单 以 外 邮件 标记 为 已 读 


8.2 ”搭建 tweak 原 型 


Mail 的 初始 界面 如 图 8-3 所 示 。 


把 日 名 单 按钮 添加 在 哪个 位 置 比较 直观 呢 ? 
在 图 8-3 所 示 的 All Inboxes 界 面 中 ， 可 以 看 到 ， 其 
左下 角 是 空缺 的 ， 或 许可 以 把 按钮 添加 在 这 里 ， 
试 试 看 效果 吧 ， 如 图 8-4 所 示 。 
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标 ， 形 式 不 统一 ， 不 够 美观 ， 可 见 ， 左 下 角 不 适 
合 讨 加 文字 按钮 。 如 采 改 成 一 个 图 标 按钮 呢 ? 可 
能 也 会 有 问题 ， 因 为 "日 名 单 ? 和 没有 约定 俗 成 的 多 
形 表 达 方 式 ， 找 不 到 一 个 比较 有 代表 性 的 图 标 来 
表示 日 名 单 ， 所 以 用 图 标 按钮 表示 日 名 单 不 够 直 


ML » EDU EMAAR, ARES SA EA 
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的 “Mailboxes”， 去 上 一 级 界面 看 看 ， 如 图 8-5 所 


一 -一 人 


7e 
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中 元 下 不 适合 添加 日 名 单 按钮 ， 刚 才 已 经 讨论 过 
了 。 把 核 钮 添加 在 左上 看 看 效 末 ， 如 图 8-6 所 示 。 
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图 8-3” Mail 初始 界面 
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8-4 ”在 左下 角 添 加 日 名 单 按钮 
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图 8-5 Mailboxes% H 


eeeco 中 国联 通令 ;^' 10:26 9 9596 M+ 


Whitelist Mailboxes Edit 


RA All Inboxes 
t^ Gmail 
FA QQ 


* VIP 


ACCOUNTS 


SA Gmail 


($) QQ 


Updated Just Now K 


图 8-6 EAEAN HA R ZH 


TUROKSURYMMÉB. WHA A FIEX 
HIE! 要 达到 图 8-6 所 示 的 效果 ， 只 需要 找到 
Mailboxes 界 面 的 controller， 然 后 通过 
[controller.navigationItem setLeftBarButtonItem:] 来 
添加 日 名 单 按钮 惑 可 以 了 。 通 过 V 找 C 的 过 程 前 面 
已 经 重复 过 很 多 再 ， 坪 可 行 的 。 杭 定 了 按钮 ， 接 
下 来 驶 是 对 日 名 单 工作 逻 挤 的 酉 理 了 ， 可 以 分 为 
以 下 3 步 : 


1) 拿 到 所 有 邮件 ; 
2) 提取 出 它们 的 地 址 ; 
3) 根据 白 名 单 决定 是 否 将 它们 标记 为 已 读 。 


下 面 来 一 步 步 分 机 ， 一 起 来 思考 


要 如 何 才能 拿 到 所 有 邮件 呢 ? 图 8-3 所 示 的 
寞 面 可 以 下 拉 刷 新 收 件 箱 ， 如 岁 8-7 所 示 。 
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图 8-7 下拉 刷新 


在 刷新 的 过 程 中 ，Mail 会 去 邮件 服务 器 上 获 
取 最 新 邮件 ; 刷新 完成 后 ， 界 面 恢复 到 图 8-3 所 未 
的 样子 ， 此 时 收 件 箱 里 存放 的 就 是 所 有 上 邮件。 如 
果 能 捕获 “刷新 完成 事件， 然后 夸 取 收 件 箱 ， 束 
可 以 拿 到 所 有 邮件 了 。 因 此 ,“ 拿 到 所 有 邮件 ”可 
以 分 为 2 步 : 一 是 捕获 “刷新 完成 ”事件 ， 二 是 读 取 
收 件 箱 。 其 中 ,“ 刷 狐 完 成 ?的 啊 应 国 数 一 般 是 定 
义 在 protocol 里 的 ， 在 分 析 class-dump 头 文件 的 时 
候 ， 要 留意 各 种 protocol 里 有 没有 出 现 
didRefresh、didUpdate、didReload 之 类 名 字 中 含 
有 人 完成 时 态 动 词 的 画 数 ， 钓 住 (hook) 它 ， 然 后 
寻找 读 取 收 件 箱 的 方法 ， 从 而 拿 到 所 有 邮件 。 


一 封 邮 件 就 是 一 个 对 象 ， 它 一 般 会 用 一 个 类 
来 表示 ， 从 这 个 类 中 可 以 提取 出 邮件 的 收 件 人 、 


BEA EIL > ARMER CESE E ^. HIR BE 
拿 到 邮件 对 象 ， 束 可 以 一 石 二 乌 ， 完 成 后 两 步 操 
作 。 


看 上 去 整体 思路 并 不 复杂 ， 下 面 殉 来 各 个 击 
AK ° 


8.2.4. 定位 Mail 的 可 执行 文件 并 class-dump 它 


通过 ps 命令 很 容易 就 能 定位 到 Mail 的 可 执行 
X f */Applications/MobileMail.app/MobileMail" ° 
因为 MobileMail 是 iOS 原 生 系 统 App， 没 有 加 膏 ， 
所 以 不 需要 了 俩 壳 ， 直 接 class-dump 即 可 ， 如 下 : 


snakeninnys-MacBook:- snakeninny$ class-dump -S -s -H 
/Users/snakeninny/Code/iOSSystemBinaries/8.1.1 iPhone5/Mobil 
eMail.app/MobileMail -o 
/Users/snakeninny/Code/iOSPrivateHeaders/8.1.1/MobileMail 


程序 执行 后 ， 共 得 到 393 个 头 文件 ， 如 图 8-8 
Prass 


Date Modified 
Dec 9, 2014, 21:27 458 bytes C header code 
Dec 9, 2014, 21:27 304 bytes C header code 
Dec 9, 2014, 21:27 725 bytes C header code 
Dec 9, 2014, 21:27 743 bytes C header code 
Dec 9, 2014, 21:27 900 bytes C header code 
Dec 9, 2014, 21:27 3 KB C header code 
Dec 9, 2014, 21:27 3 KB C header code 
Dec 9, 2014, 21:27 ! KB C header code 
MFXPCData.h Dec 9, 2014, 21:27 573 bytes C header code 
MiniMallSearchWrapper-Protocol.h Dec 9, 2014, 21:27 423 bytes C header code 
MiniMa!lSource-Protocol.h Dec 9, 2014, 21:27 4 KB C header code 
MiniMallSourceBul...Delegate-Protocol.h Dec 9, 2014, 21:27 335 bytes — C header code 
MMCurrentMessageRemoved.h Dec 9, 2014, 21:27 449 bytes C header code 
MMMessageChangedContext.h Dec 9, 2014, 21:27 513 bytes C header code 
MMRowsChangedContext.h Dec 9, 2014, 21:27 1 KB C header code 
MMStartFetchContext.h Dec 9, 2014, 21:27 390 bytes C header code 
NoSelectedMessageView.h Dec 9, 2014, 21:27 451 bytes C header code 
NSArray-MobileMail.h Dec 9, 2014, 21:27 300 bytes C header code 
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393 items, 8.45 GB available 


图 8-8  class-dump3 X ft 
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8.2.2 ”把 头 文件 导入 Xcode 


Xcode E A AERD BEA CAS T ou SN ES 
较为 美观 整 涪 地 展示 大 量 头 文件 ， 如 图 8-9 所 示 。 
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x; 


mak Reedy | Yesterday m 232.14 


ror” 

O targets, meeng Sese SOK 
^ Meeder ^. MessageMegaMall, MessageVimwcontroller, NSArray, NSString, NSUndoManage 

Ui$earchBar, UlSearchDisplayCootroller, UITableView, UITableViewCell, UlView, .! 


W^ @intertace MailboaCententViewentroller : UlViewController «MailboxCoeteetSelectionModelDa 
MFASéressBookClient, UITableViewDelegate, UlTableViewOataSource, UISearchDisplayDelegate, 
TransferMailboxPickerDelegate, AutoFetchControllerDataSource» 
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| 
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t 


MessageMegaMall e satt; 
MessageMegaMall e searchMall; 
MfMessageViewingCootext w vitwingContext; 
MfMessageViewingContext e swipeActionViewingContext; 
ficat .savedContentOf fset; 
MailboxContentViewController e threadViewController; 
long long .eurrentCoewersat 1on10; 
unsigned iat cerrentSection; 
UIBarButtoeItee e moltifditButtonIten; 
UIBarButtoeItem e searce£ditButtonItee; 
UIBarButtonItem e deleteButtonIten; 
UlBarButtonItem » noveButtoniten; 

[4 * ParkButtonlten; 
UITableViewCell e cellDienedburingconpose; 
NSArray = defaultToolbarTtees; 
NGArray * multiEditBarBottear tees; 


22x 


NGArray * searchüarButtoeItems; 

NSArray * searchMultiEditBarButtonItees; 
UISearchDisplayCoontroller » searchController; 
UlSearchBar e searchBar; 
SearchScopeControl e searchScopeControl; 
MPSearchTextParser e searchTestParser; 
MfMessageCriterion = dateCriterion; 
Struct —ChDictionary e commentCache: 
NSArray + mylddresses; 

MFActivityMonitor e, fetchActivityMonitor; 
UTView « deleteButtoe View; 


图 8-9 ”把 头 文 件 导 入 Xcode 
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接 下 来 ， 开 始 寻 找 线索 ， 从 App 切 入 代码 。 


8.2.3 FHiCycriptiXZl|Mailboxes M Hcontroller 


Ei 75 HrecursiveDescription# J FJ Hi Mailboxes 7? 
面 的 UI 布局 ， 如 下 : 


FunMaker-5:~ root# cycript -p MobileMail 
cy# ?expand 
expand true 


cy# [[UIApp keyWindow] recursiveDescription] 
@"<UIWindow: Oxi156bffe0O; frame = (0 0; 320 568); 
gestureRecognizers = «NSArray: 0x156bd390»; layer = 
«UIWindowLayer: 0x156c1be0>> 

| «UIView: 0x15611490; frame = (0 0; 320 568); autoresize 
= W+H; gestureRecognizers = «NSArray: 0x15618e70>; layer = 
<CALayer: 0x15611420>> 

| | <UIView: 0x15611210; frame = (0 0; 320 568); layer 
= «CALayer: 0x15611280>> 

| | | « MFActorItemView: 0x15614660; frame = (0 0; 
320 568); layer = «CALayer: 0x15614840>> 

| | | | «UIView: 0x156150f0; frame = (-0.5 -0.5; 
321 569); alpha 0; layer = «CALayer: 0x15615160>> 

| | | | « MFActorSnapshotView: 0x15614bb0; 
baseClass = UISnapshotView; frame = (0 0; 320 568); 
clipsToBounds = YES; hidden = YES; layer = <CALayer: 
0x15614e00>> 

| | | | | «UIView: 0x15614f40; frame = (-1 
-1; 322 570); layer = <CALayer: 0x15614fb0>> 

| | | | «UILayoutContainerView: 0x1572ec40; 
frame = (0 0; 320 568); clipsToBounds = YES; autoresize = 
LM+W+RM+TM+H+BM; layer = <CALayer: 0x1572ecc0>> 

| | | | | «UIView: 0x1683d890; frame = (0 0; 
320 0); layer = «CALayer: 0x16848140>> 

| | | | | «UILayoutContainerView: 0x157246b0; 
frame = (0 0; 320 568); clipsToBounds = YES; 
gestureRecognizers = «NSArray: 0x156088e0»; layer = 
«CALayer: 0x15724890>> 


| | | | | | | | | | 
«MailboxTableCell: 0x1572ad50; baseClass = UITableViewCell; 


frame = (0 28; 320 44.5); autoresize = W; layer = «CALayer: 
0x168299f0»» 

| | | | | | | | | | | 
«UITableViewCellContentView: 0x16829b70; frame = (0 0; 286 
44); gestureRecognizers = «NSArray: 0x1682b060»; layer 
«CALayer: 0x16829be0>> 

| | | | | | | | | | | | 
«UILabel: 0x1682b0a0; frame = (55 12; 84.5 20.5); text 
'All Inboxes'; userInteractionEnabled = NO; layer = 
<_UILabelLayer: 0x1682b160>> 


其 中 ， 最 下 方 的 这 个 UILabel 上 的 文字 是 “Al 
Inboxes”， 其 对 应 的 MailboxTableCell E ZA. ze d 
8-5 中 最 上 面 的 一 个 cell 了 。 连 续 调 用 
nextResponder， 找 出 这 个 弄 面 的 controller， 如 
下 : 


cy# [#0x1572ad50 nextResponder] 

Z"«UITableViewwrapperView: 0x1572fe60; frame = (0 0; 320 
568); gestureRecognizers = <NSArray: 0x15730370»; layer = 
<CALayer: 0x157301a0>; contentOffset: (0, 0}; contentSize: 
(320, 568}>" 

cy# [40x1572fe60 nextResponder] 

#"<UITableView: 0x1585a000; frame = (0 0; 320 568); 
clipsToBounds = YES; autoresize = W-*H; gestureRecognizers = 
«NSArray: 0x1572fa20>; layer = «CALayer: 0x1572f540>; 
contentOffset: (0, -64}; contentSize: (320, 371}>" 

cy# [#0x1585a000 nextResponder] 
#"<MailboxPickerController: 0x156e9260>" 


很 轻松 地 拿 到 了 MailboxPickerController ° iXX 
试看 用 它 能 不 能 添加 一 个 leftBarButtonItem ， 如 
下 : 


Cy# #0x156e9260.navigationItem.leftBarButtonItem = 
#0x156e9260.navigationItem.rightBarButtonItem 


Z"«UIBarButtonlItem: 0x15729f00»' 


效果 如 图 8-10 所 示 。 
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到 8-10 setLeftBarButtonItem: 的 效果 


没有 问题 ，MailboxPickerController 束 是 
Mailboxes 界 面 的 controller， 可 以 通过 它 添 加 提名 
单 按钮 。 


8.2.4 用 Reveal 和 Cycript 找 到 All Inboxes 界 面 的 


delegate 


搞定 了 日 名 单 按钮 ， 就 要 开始 梳理 白 名 单 的 
工作 逻辑 了 ， 移 看 看 如 何 捕获 “刷新 完成 ”事件 。 
因为 "刷新 完成 ”和 是 直 观 表 现在 All Inboxes 弄 面 上 
的 ， 所 以 “刷新 完成 的 响应 函数 很 可 能 定义 在 这 
个 界面 的 delegate 中 。 转 成 到 多 8-3 所 示 的 Al 
Inboxes 界 面 ， 这 里 不 再 重复 8.2.3 节 的 方法 ， 而 是 


"LJ Reveal (ik FAA Acell, BEHCycriptiX 
出 它 所 在 的 UITableView， 从 而 得 知 其 delegate ° 


下 面 就 用 Reveal 查 看 Mail， 很 容易 就 可 以 定 
位 到 最 上 方 的 那个 cell， 如 图 8-11 所 示 。 
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图 8-11 用 Reveal 查 看 Mail 的 UI 布 局 


MailboxContentViewCell 束 是 显示 邮件 发 件 
人 人、 标题 和 摘要 的 cel。 接 着 用 Cycript 找 出 它 所 在 
HJUITableView: 为 我 们 知道 当前 界面 一 定 存 在 


MailboxContentViewCell 对 象 ， 所 以 可 以 党 试 通 过 
choose 命 令 获 取 这 些 对 象 ， 而 不 用 荔 烦 


recursiveDescription 她 老人 家 了 ， 如 下 : 


FunMaker-5:- root# cycript -p MobileMail 

cy# choose(MailboxContentViewCell) 
[#"<MailboxContentViewCell: 0Ox161f4000» cellContent",z" 
«MailboxContentViewCell: 0x1621c400» cellContent",#" 
«MailboxContentViewCell: 0x1621d000> cellContent",#" 
«MailboxContentViewCell: 0x16234800» cellContent",#" 
«MailboxContentViewCell: 0x1623ee00» cellContent",#" 
«MailboxContentViewCell: 0x1623f200» cellContent",#" 
«MailboxContentViewCell: 0x159c2c00» cellContent"] 


choose 命 令 返 回 了 一 个 由 
MailboxContentViewCell 对 象 组 成 的 NSArray， 从 
中 随便 挑选 一 个 MailboxContentViewCell 对 象 ， 对 
其 连续 调用 nextResponder， 如 下 : 


cy# [choose(MailboxContentViewCell)[0] nextResponder] 
Z"«UITableViewwrapperView: 0x15660b80; frame = (0 0; 320 
612); gestureRecognizers = «NSArray: 0x16855170>; layer = 
«CALayer: 0x16888f20»5; contentOffset: (0, 0}; contentSize: 
(320, 612}>" 

cy# [#0x15660b80 nextResponder] 

#"<MFMailboxTableView: 0x16095000; baseClass = UITableView; 
frame = (0 0; 320 568); clipsToBounds = YES; autoresize = 


W+H; gestureRecognizers = «NSArray: 0x15607850»; layer = 
«CALayer: 0x16838210>; contentOffset: (0, -64); contentSize: 
(320, 52364}>" 


它 所 在 的 UITableView 是 一 个 
MFMailboxTableView 对 象 ， 看 看 它 的 delegate 古 什 
^, WM: 


cy# [#0x16095000 delegate] 
#"<MailboxContentViewController: 0x16106000»" 


它 的 delegate 是 
MailboxContentViewController。 继 续 调 用 
nextResponder， 看 看 它 有 的 controller 义 是 什么 ， 如 
NE 


cy# [#0x16095000 nextResponder] 
#"<MailboxContentViewController: 0x16106000»" 


也 就 是 说 ，MFMailboxTableView 的 controller 


flidelegate25] = MailboxContentView-Controller ° f] 


HUSE— PFcontrollerBJ1E RE, AH P: 


cy# [#0x16106000 setTitle:Q"iOSRE"] 


效果 如 图 8-12 所 示 。 


eeeco HARA T 17:03 


X Mailboxes iOSRE 


Q, Search 


E Wer esi 
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s Sire 
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Updated at 16:55 


B Unread 


图 8-12 setTitle: 的 效果 


这 个 结果 说 明 上 述 一 系列 推导 没有 问题 ， 
MailboxContent-ViewController 中 很 可 能 既 舍 有 “ 刷 


狐 完 成 ”的 啊 应 函数 ， 又 能 找到 读 取 收 件 条 的 蛛 丝 
Sh, fe PORBHE RABE RET ° 


8.2.5 在 MailboxContentViewController 中 定位 “ 刷 
Bae Be” AYA AY ERA 


与 第 7 章 一 样 ， 移 来 看 看 
MailboxContentViewController 实 现 了 哪些 
protocol， 能 不 能 在 其 中 找到 可 疑 鸭 啊 应 函 效 ， 如 
下 : 


Qinterface MailboxContentViewController : UIViewController 
«MailboxContentSelectionModelDataSource, 
MFSearchTextParserDelegate, MessageMegaMallObserver, 
MFAddressBookClient, MFMailboxTableViewDelegate, 
UIPopoverPresentationControllerDelegate, 
UITableViewDelegate, UITableViewDataSource, 
UISearchDisplayDelegate, UISearchBarDelegate, 
TransferMailboxPickerDelegate, 
AutoFetchControllerDataSource» 


先 从 名 字 上 做 一 次 人 商 单 的 排查 ， 
MFSearchTextParserDelegate ^ 
MFAddressBookClient ^ 
UIPopoverPresentationControllerDelegate ^ 
UITableViewDelegate 、 UITableViewDataSource ^ 
UlSearchDisplayDelegate ` UISearchBarDelegate Æ 
起 来 跟 “ 刷 新 完成 ”没什么 天 系 ， 可 以 直接 排除 7 
剩 下 的 MailboxContentSelectionModelDataSource、 
MessageMegaMallObserver ^ 
MFMailboxTableViewDelegate ^ 
TransferMailboxPickerDelegate #1 
AutoFetchControllerDataSource 还 不 好 说 ， 那 就 挨 
^X —38 ° UB 
MailboxContentSelectionModelDataSource.h, N% 


ATP: 


Qprotocol MailboxContentSelectionModelDataSource «NSObject» 
- (BOOL)selectionModel: (id)arg1 
deleteMovesToTrashForTableIndexPath:(id)arg2; 

- (void)selectionModel:(id)argi 
getConversationStateAtTableIndexPath:(id)arg2 hasUnread: 
(char *)arg3 hasUnflagged:(char *)arg4; 

- (void)selectionModel:(id)argi getSourceStateHasUnread: 
(char *)arg2 hasUnflagged:(char *)arg3; 

- (id)selectionModel:(id)arg1 indexPathForMessageInfo: 
(id)arg2; 

- (id)selectionModel:(id)arg1 messageInfosAtTableIndexPath: 
(id)arg2; 

- (id)selectionModel:(id)argi messagesForMessageInfos: 
(id)arg2; 

- (BOOL)selectionModel:(id)argi 
shouldArchiveByDefaultForTableIndexPath:(id)arg2; 

- (id)selectionModel:(id)arg1 sourceForMessageInfo:(id)arg2; 
- (BOOL)selectionModel: (id)arg1 
supportsArchivingForTableIndexPath: (id)arg2; 

- (id)sourcesForSelectionModel:(id)arg1i; 

@end 


这 个 protocol 的 作用 看 上 去 是 读 取 数据 产 ， 
跟 “ 刷 新 数据 产 ?” 没 太 大 关系 。 接 者 看 
MessageMegaMallObserver.h， 内 容 如 下 : 


@protocol MessageMegaMallObserver <NSObject> 

- (void)megaMallCurrentMessageRemoved: (id)arg1; 

- (void)megaMallDidFinishSearch:(id)argi; 

- (void)megaMallDidLoadMessages:(id)argi; 

- (void)megaMallFinishedFetch: (id)arg1; 

- (void)megaMallGrowingMailboxesChanged:(id)arg1; 
- (void)megaMallMessageCountChanged:(id)arg1; 

- (void)megaMallMessagesAtIndexesChanged:(id)argi; 


- (void)megaMallStartFetch:(id)arg1; 
Qend 


UT 28 A ANZ ERU BER RUIT AST 

同时 ， 
从 “LoadMessages”、“FinishedFetch”、“MessageCo 
untChanged" 等 函数 的 名 字 上 来 看 ， 它 可 能 会 在 刷 
新 完成 的 前 后 得 到 调用 。 接 下 来 用 LLDB 在 这 3 个 

国 数 鸭 开头 部 分 下 断 点 ， 然 后 下 拉 刷 狐 收 件 箱 
看 看 它们 的 调用 情况 。 首 和 完 用 LLDB 附 加 
MobileMail， 查 看 其 ASLR 偏 移 ， 如 下 : 


(lldb) image list -o -f 

[ 9] 

0x000b2000/private/var/db/stash/ .lnBgU8/Applications/Mobile 
Mail.app/MobileMail(0x00000000000b6000) 

1] 
0x003b7000/Library/MobileSubstrate/MobileSubstrate.dylib(0x0 
0000000003b7000) 

[ 2] 
0x090d1000/Users/snakeninny/Library/Developer/Xcode/iOS 
DeviceSupport/8.1 
(12B411)/Symbols/usr/lib/libarchive.2.dylib 

[ 3] 0x090c3000 
/Users/snakeninny/Library/Developer/Xcode/iOS 
DeviceSupport/8.1.1 


(12B435)/Symbols/System/Library/Frameworks/CloudKit.framewor 
k/CloudKit 


Hn DEVE Sl], ASLRÍRT XE0x000b2000 ° Sate 
MobileMail 拖 进 IDA， 行 初始 分 析 完 成 后 ， 查 看 
[MailboxContentViewController 
megaMallDidLoadMessages:] ^ 
[MailboxContentViewControllermegaMallFinishedF 
etch:]fü[MailboxContentViewController 
megaMallMessageCountChanged:] 的 基地 址 ， 如 图 
8-13、 图 8-14 和 图 8-15 所 示 。 


e :0003DCEO ; N T on V roiier 
text:0003DCEO ; Attributes: 8 frame 


; void _ cdecl -[MailboxContentViewController megaMallDidLoadMessag 
DCEO _ MailboxContentViewController megaMallDidLoadMessages 
0 ; DATA 


ges 
XREF: — objc const:O 


var 20 
var 1C 


text:0003DCE4 


图 8-13 [MailboxContentViewController 


megaMallDidLoadMessages: | 


e 2 UUU VOOU j 

text:0003D860 

text:0003D860 ; void _ cdecl -[MailboxContentViewController megaMallFinishedFet| 
text:0003D860 _ MailboxContentViewController megaMallFinishedFetch - 


text:0003D860 ; DATA XREF: — objc cons 
text:0003D860 

text:0003D860 var 20 = -0x20 

text:0003D860 var 1C = -OüxlC 

text:0003D860 var 18 = -0x18 

text:0003D860 var 14 = -0xl4 

text:0003D860 var 10 = -0x10 

text:0003DB60 var C = -0xC 

text:0003D860 

text:0003D860 PUSH (R7,LR) 
text:0003D862 MOV R7, SP 
text:0003D864 SUB SP, SP, #0x18 


图 8-14  [MailboxContentViewController 


megaMallFinishedFetch: | 


text :0003DE4A R7, SP, #0xC 
text:0003DE4C {R8,R10,R11} 
text :0003DE50 : R4, SP, #0x18 
text:0003DE54 à R4, R4, #0xF 


text:0003DE58 SP, R4 
D0039E48 0003DE48: -[MailboxContentViewController megaMallMessageCountChanged:] 


图 8-15 [MailboxContentViewController 


megaMallMessageCountChanged: | 


它们 的 基地 址 分 别 是 0x3dce0、0x3d860 和 
0x3de48。 用 LLDB 在 这 些 地 址 上 下 断 点 ， 然 后 下 
Jur. fürs. UD: 


(lldb) br s -a '0x000b2000+0x3dce0' 
Breakpoint 1: where - 


MobileMail | lldb unnamed function992$$MobileMail, addrss = 
0x000efced 

(lldb) br s -a '0x000b2000+0x3d860' 

Breakpoint 2: where - 

MobileMail | lldb unnamed function987$$MobileMail, addrss = 
0OxOOO0ef860 

(lldb) br s -a '0x000b2000-0x3de48 ' 

Breakpoint 3: where - 

MobileMail | lldb unnamed function993$$MobileMail, addrss = 
0x000efe48 


HT BE Ma Ek BSS RS A AT 
Di: 三 个 断 扣 一 个 也 没有 触发 。 从 事 过 网 络 编程 
的 朋友 可 能 会 狂 
的 负担 ， 克 省 iDOS 流 量 ， 并 不 是 每 次 下 拉 刷 新 都 会 
去 服务 右 取 数据 。 如 采 刷 新 时 间 间 隔 不 长 ， 收 件 
箱 的 数据 源 丈 会 是 本 地 缓存 ， 不 会 调用 
MessageMegaMallObserver 中 的 方法 。 为 了 验证 这 
个 猜测 ， 我 们 往 目 己 的 邮箱 发 一 封 邮 件 ， 然 后 
MAS, AEDA, WF: 


Process 73130 stopped 
* thread #44: tid = 0x14c10, Ox000ef860 
MobileMail lldb unnamed function987$$ MobileMail, stop 


reason - breakpoint 2.1 
frame #0: Ox000ef860 
MobileMail | lldb unnamed function987$$MobileMail 
MobileMail | lldb unnamed function987$$MobileMail: 
-» Oxef860: push {r7, 1r} 
Oxef862: mov r7, sp 
Oxef864: sub sp, #24 
Oxef866: movw ri, #44962 
(lldb) c 
Process 73130 resuming 
Process 73130 stopped 
* thread #44: tid = 0x14c10, 0x000ef860 
MobileMail | lldb unnamed function987$$ MobileMail, stop 
reason - breakpoint 2.1 
frame #0: Ox000ef860 
MobileMail | lldb unnamed function987$$MobileMail 
MobileMail | lldb unnamed function987$$MobileMail: 
-> Oxef860: push {r7, 1r} 
Oxef862: mov r7, sp 
Oxef864: sub sp, #24 
Oxef866: movw ri, #44962 
(lldb) c 
Process 73130 resuming 
Process 73130 stopped 
* thread #1: tid = Ox11daa, 0x000efe48 
MobileMail' | lldb unnamed function993$$ MobileMail, queue = 
'MessageMiniMall.0x157c2d90, stop reason = breakpoint 3.1 
frame #0: Ox000efe48 
MobileMail | lldb unnamed function993$$MobileMail 
MobileMail | lldb unnamed function993$$MobileMail: 
-» Oxefe48: push {r4, r5, r6, r7, 1r} 
Oxefe4a: add r7, sp, #12 
Oxefe4c: push.w {r8, r10, r11} 
Oxefe50: sub.w r4, sp, #24 
(1ldb) 
Process 73130 resuming 
Process 73130 stopped 
* thread #1: tid = Ox11daa, 0x000efe48 
MobileMail`__ lldb_unnamed_function993$$ MobileMail, queue = 
'MessageMiniMall.0x157c2d90, stop reason = breakpoint 3.1 
frame #0: Ox000efe48 
MobileMail | lldb unnamed function993$$MobileMail 
MobileMail | lldb unnamed function993$$MobileMail: 
-» Oxefe48: push {r4, r5, r6, r7, 1r} 
Oxefe4a: add r7, sp, #12 


Oxefe4c:  push.w (r8, r10, r11} 

Oxefe50: sub.w r4, sp, #24 
(l1ldb) 
Process 73130 resuming 
Process 73130 stopped 
* thread #44: tid = Ox14c10, Ox000ef860 
MobileMail' | lldb unnamed function987$$ MobileMail, stop 
reason - breakpoint 2.1 

frame #0: OxO00ef860 
MobileMail | lldb unnamed function987$$MobileMail 
MobileMail | lldb unnamed function987$$MobileMail: 
-» Oxef860: push {r7, 1r} 

Oxef862: mov r7, sp 

Oxef864: sub sp, #24 

Oxef866: movw ri, #44962 
(lldb) c 
Process 73130 resuming 


果不其然 ，megaMallFinishedFetch: 和 
megaMallMessageCountChanged: 被 交替 调用 。 从 
名 字 上 来 看 ， 一 封 邮件 束 是 一 个 message， 
megaMallFinishedFetch: 应 该 会 在 iO0S 成 功 地 从 服务 
妖 取 回 邮件 之 后 得 到 调用 ， 而 
megaMallMessageCountChanged: 应 该 会 在 邮件 数 
量 发 生变 动 ， 即 收 邮 件 和 删 邮件 时 得 到 调用 ， 两 
者 自然 都 会 在 “刷新 完成 "时 得 到 调用 ， 都 可 以 看 


VE“ hill BT 5 EX AMMA By ENG o. PAL B DG. , XX 
FA X5fÉmegaMallMessageCountChanged:, $2 fk 
的 任务 是 寻找 拿 到 所 有 邮件 的 方法 。 


8.2.6 ”从 MessageMegaMall 中 拿 到 所 有 邮件 


还 记得 第 7 章 中 说 过 的 “协议 方法 被 调用 ， 一 
般 征 因为 方法 名 中 探 到 的 那个 事件 发 生 了 ; 而 那 
件 事 发 生 的 对 象 ， 一 般 是 协议 方法 的 参数 " 吧 ? 删 
PRETO, REBIT, CME 
megaMallMessageCountChanged: LAT, AA 
它 的 参数 是 什么 ， 如 下 : 


Process 73130 stopped 
* thread #1: tid = Ox11daa, 0x000efe48 
MobileMail' | lldb unnamed function993$$ MobileMail, queue = 
'MessageMiniMall.0x157c2d90, stop reason - breakpoint 3.1 
frame #0: Ox000efe48 
MobileMail | lldb unnamed function993$$MobileMail 
MobileMail | lldb unnamed function993$$MobileMail: 
-» Oxefe48: push ir4, r5, r6, r7, lr) 
Oxefe4a: add r7, sp, #12 


Oxefe4c:  push.w (r8, r10, r11} 
Oxefe50: sub.w r4, sp, #24 
(lldb) po $r2 
NSConcreteNotification 0x157e8af0 {name = 
MegaMallMessageCountChanged; object = «MessageMegaMall: 
0x1576c320>; userinfo = { 
"added-message-infos" = ( 
"«MFMessageInfo: 0x157c86d0» uid-1185, 
conversation-2777228998582613276" 
); 
destination = "{(\n)}"; 
inserted = "{(\n «NSIndexPath: 0x157e8ac0> {length = 
2, path = 0 - O}°Dn)}"; 
relocated = "{(\n)}"; 
updated = "{(\n)}"; 
t} 


可 以 看 到 ， 参 数 是 一 个 
NSConcreteNotification 对 象 。 得 看 其 头 文件 ， 可 
知 它 继承 目 NSNotification 。 它 的 name 是 
MegaMallMessageCountChanged, objectz&— ^ 
MessageMegaMall 对 象 ，userInfo 是 一 些 改动 信 
忌 。“MegaMall” 这 个 名 字 很 值得 玩味 ,“ 大 型 购物 
中 心 ”， 看 似 与 邮件 坚 不 相关 ， 却 又 
5j"Message"^] 774^, 58.2.4 D a TRY 
MessageMegaMallObserver 遥 相 呼 应 ， 疑 似 为 一 个 


存储 “Message” 的 类 。 打 开 MessageMegaMall.h， 
看 看 它 的 内 容 ， 如 下 : 


Qinterface MessageMegaMall : NSObject 
«MessageMiniMallObserver, Message SelectionDataSource> 
- (id)copyAllMessages; 

@property (retain, nonatomic) MFMailMessage *currentMessage; 
- (void)loadOlderMessages; 

- (unsigned int)localMessageCount; 

- (unsigned int)messageCount; 

- (void)markAllMessagesAsNotViewed; 

- (void)markAllMessagesAsViewed; 

- (void)markMessagesAsNotViewed: (id)arg1; 

- (void)markMessagesAsViewed:(id)arg1; 


RA SRT: 复制 所 有 邮件 、 当 前 邮 
件 、 读 取 早 期 邮件 、 本 地 邮件 计数 、 邮 件 计数 、 
标 为 已 读 ......MessageMegaMall 应 该 就 是 一 个 管 
理 所 有 邮件 对 象 的 M， 它 被 苹 果 形 象 地 比喻 为 “大 
型 购物 中 心 *。 ABA BI FRE ABE 


copyAllMessages 拿 天 所 有 的 邮件 呢 ? TELLDB 
Wo hs 如 下 : 


Process 73130 stopped 
* thread #1: tid = Ox11daa, 0x000efe48 
MobileMail | lldb unnamed function993$$ MobileMail, queue = 
'MessageMiniMall.0x157c2d90, stop reason = breakpoint 3.1 
frame #0: Ox000efe48 
MobileMail | lldb unnamed function993$$MobileMail 
MobileMail'. | lldb unnamed function993$$MobileMail: 
-» Oxefe48: push ir4, r5, r6, r7, 1r} 
Oxefe4a: add r7, sp, #12 
Oxefe4c:  push.w (r8, r10, r11} 
Oxefe50: sub.w r4, sp, #24 
(lldb) po [[$r2 object] copyAllMessages] 


{( 

«MFLibraryMessage 0x15612030: library id 89, remote id 
13020, 2014-11-25 20:32:16 +0000, 'Cydia/APT(A): 
LowPowerBanner (1.4.5)'>, 

«MFLibraryMessage 0x1572ef10: library id 604, remote id 
12718, 2014-10-01 21:34:28 +0000, 'Asian Morning: Told to 
End Protests, Organizers in Hong Kong Vow to Expand Them'>, 

<MFLibraryMessage 0x168bd170: library id 906, remote id 
13142, 2014-12-17 22:34:30 +0000, 'Asian Morning: Obama 
Announces U.S. and Cuba Will Resume Relations'>, 


)} 

(lldb) p (int)[[[$r2 object] copyAllMessages] count] 
(int) $7 - 580 

(lldb) p (int)[[$r2 object] localMessageCount] 

(int) $8 - 580 

(lldb) p (int)[[$r2 object] messageCount] 

(int) $0 - 553 

(lldb) po [[[$r2 object] copyAllMessages] class] 
__NSSetM 


copyAllMessages;K|H| f —/ ^ NSSet, E 
8 580^ MFLibraryMessageX § , 
MFLibraryMessage 对 象 中 舍 有 邮件 摘要 信息 ， 且 
NSSet 中 对 象 的 个 数 与 localMessageCount 的 值 相 
同 。 这 个 结 来 很 好 理解 为 了 廊 省 市 交流 量 和 本 
地 空间 ，iOS 没 有 必要 一 次 性 下 载 邮件 服务 右上 的 
所 有 邮件 ， 因 此 会 先 存 储 个 百 十 来 封 ， 用户 如 果 
要 看 更 多 的 邮件 ， 再 去 服务 器 获取 (B 
loadOlderMessages) 。 因 此 ，copyAllMessages 了 就 
是 拿 到 所 有 邮件 的 方法 ， 第 二 目标 达成 ! 同时 ， 
留意 [MessageMegaMall markMessagesAsViewed:] 
函数 ， 如 果 不 出 意外 ， 它 就 是 把 邮件 标记 为 已 读 
的 方法 ， 而 参数 则 很 有 可 能 是 一 个 人 有 
MFLibraryMessageX1 2: NS Array SENSSet ° FIJE 
是 不 是 这 样 呢 ? 我们 马上 就 会 验证 。 


8.2.7 ”从 MFLibraryMessage 中 提取 发 件 人 地 址 ， 
用 MessageMegaMall 标 记 已 读 


从 8.2.4 太 的 分 析 可 知 ， 一 封 邮 件 束 古 一 个 
MFLibraryMessage 对 象 ， 它 的 description 里 显示 的 
正 是 邮件 摘要 。 不 过 ， 在 MobileMail 的 头 文件 中 
定 找 不 到 和 它 的 吴 影 时 ， 想 必 你 也 能 猜 到 大 致 原 
— -MEFLibraryMessage 来 目 一 个 外 部 dylib。 在 iOS 
8 的 所 有 class-dump 头 文件 里 搜索 
MFLibraryMessage， 发 现 它 来 自 Messages 私 有 
库 ， 如 图 8-16 所 示 。 


看 看 MFLibraryMessage.h 的 内 容 ， 如 下 : 


Qinterface MFLibraryMessage : MFMailMessage 
- (id)copyMessageInfo; 

- (void)markAsNotViewed; 

- (void)markAsViewed; 

- (id)account; 


- (unsigned long long)uniqueRemoteId; 
- (unsigned long)uid; 

- (unsigned int)hash; 

- (id)remoteID; 

- (void) updateUID; 

- (unsigned int)messageSize; 

- (id)originalMailboxURL; 

- (unsigned int)originalMailboxID; 
- (unsigned int)mailboxID; 

- (unsigned int)libraryID; 

- (id)persistentID; 

- (id)messageID; 

Qend 


A = LEJE DED E: 
6 

Search: This Mac END 
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* MFLibraryMessage-Queue.h C Hea...rce File " 
B MFLibraryMessage.h C Hea...rce Fle Dec 15, 2 


f snakoninny * D Code » D lOSPrivateHeadors » fy 8.1 » [os PrivateFrameworks > D Message * « MFLibraryMessage.h 


图 8-16 ”定位 MFLibraryMessage 


MFLibraryMessage.h H 75r EA PID, Hi 
有 我 们 要 找 的 发 件 人 地 址 等 信息 。 这 个 结果 不 正 
: 我 们 已 经 在 MFLibraryMessageb 的 description 里 


看 到 了 邮件 摘要 信息 ， 却 没有 在 
MFLibraryMessage.h 里 找到 读 取 摘要 信息 的 方 
法 ， 说 明 分 析 过 程 有 遗漏 。 重 狐 审视 
MFLibraryMessage.h， 这 时 ，copyMessageInfo 进 
入 了 我 们 的 视线 ， 看 看 它 返 回 的 “邮件 信息 ”里 会 
有 什么 数据 ， 如 下 : 


Process 73130 stopped 
* thread #1: tid = Oxiidaa, 0x000efe48 
MobileMail' | lldb unnamed function993$$ MobileMail, queue = 
'MessageMiniMall.0x157c2d90, stop reason - breakpoint 3.1 
frame #0: OxO000efe48 
MobileMail | lldb unnamed function993$$MobileMail 
MobileMail | lldb unnamed function993$$MobileMail: 
-» Oxefe48: push {r4, r5, r6, r7, 1r} 
Oxefe4a: add r7, sp, #12 
Oxefe4c: push.w {r8, r10, r11} 
Oxefe50: sub.w r4, sp, #24 
(lldb) po [[[[$r2 object] copyAllMessages] anyObject] 
copyMessageInfo] 
«MFMessageInfo: 0x157c8040» uid-89, 
conversation-594030790676622907 


从 中 拿 到 了 一 个 8.2.5 节 出 现 过 的 
MFMessageInfo 对 象 ， 马 上 去 看 看 


MFMessageInfo.h 里 有 没有 邮件 摘要 信息 ， 如 下 : 


Qinterface MFMessageInfo : NSObject 


{ 
unsigned int _flagged:1; 
unsigned int _read:1; 
unsigned int  deleted:1; 
unsigned int _uidIsLibraryID:1; 
unsigned int _hasAttachments:1; 
unsigned int  isVIP:1; 
unsigned int uid; 
unsigned int _dateReceivedinterval; 
unsigned int _dateSentInterval; 
unsigned int _mailboxID; 
long long _conversationHash; 
long long  generationNumber; 

} 


+ (long long)newGenerationNumber; 

Qproperty(readonly, nonatomic) long long generationNumber; 
// Qsynthesize generationNumber- generationNumber; 
Qproperty(nonatomic) unsigned int mailboxID; // Qsynthesize 
mailboxID- mailboxID; 

Qproperty(nonatomic) long long conversationHash; // 
@synthesize conversationHash- | conversationHash; 
Qproperty(nonatomic) unsigned int dateSentInterval; // 
@synthesize dateSentInterval-  dateSentInterval; 
Qproperty(nonatomic) unsigned int dateReceivedInterval; // 
@synthesize dateReceivedInterval-  dateReceivedInterval; 
Qproperty(nonatomic) unsigned int uid; // Qsynthesize 

uid- uid; 

- (id)description; 

- (unsigned int)hash; 

- (BOOL)isEqual:(id)argi; 

- (int)generationCompare:(id)arg1; 

- (id)initWithUid:(unsigned int)argi mailboxID:(unsigned 
int)arg2 dateReceivedInterval:(unsigned int)arg3 
dateSentInterval:(unsigned int)arg4 conversationHash:(long 
long)arg5 read:(BOOL)arg6 knownToHaveAttachments: (BOOL)arg7 
flagged:(BOOL)arg8 isVIP:(BOOL)arg9; 

- (id)init; 

Qproperty(nonatomic) BOOL isVIP; 


@property(nonatomic, getter-isKnownToHaveAttachments) BOOL 
knownToHave Attachments; 

Qproperty(nonatomic) BOOL uidIsLibraryID; 
Qproperty(nonatomic) BOOL deleted; 

Qproperty(nonatomic) BOOL flagged; 

Qproperty(nonatomic) BOOL read; 

Qend 


MFMessageInfo 中 含有 已 谈 信 息 ， 但 不 含有 
邮件 摘要 信息 ， 说 明 分 析 仍 不 够 广 密 。 再 回 过 头 
仔细 观察 MEFLibraryMessage.h， 发 现 它 继承 上 自 
MFMailMessage， 从 名 字 上 看 ，MailMessage 用 来 
代表 邮件 显然 比 LibraryMessage 更 贴切 。 打 开 
MFMailMessage.h， 看 看 它 的 内 容 ， 如 下 : 


@interface MFMailMessage : MFMessage 

- (BOOL)shouldSetSummary; 

- (void)setSummary: (id)arg1; 

- (void)setSubject:(id)argi to:(id)arg2 cc:(id)arg3 bcc: 
(id)arg4 sender:(id)arg5 dateReceived: (double)arg6 dateSent: 
(double)arg7 messageIDHash: (long long)arg8 
conversationIDHash: (long long)arg9 summary: (id)arg10 
withOptions: (unsigned int)arg11; 

- (id)subject; 

@end 


summary ^ subject ` sender 、cc、bcc 等 邮件 常 
用 词汇 出 现在 我 们 面前 ， 但 除了 subject， 
MFMailMessage.h 中 只 出 现 了 setter， 而 不 见 
getter。 还 记得 刚才 我 们 的 注意 力 是 怎么 从 
MFLibraryMessage.hf£ f? $ll MFMailMessage.h. EH 
I3? 想必 你 一 定 也 注意 到 了 MFMailMessage 的 父 
类 MFMessage。 在 查看 它 的 头 文 件 前 ， 先 用 LLDB 
看 看 [MFMailMessage subject] 的 返回 ， 验 证 一 下 
到 目前 为 止 的 分 析 ， 如 下 : 


Process 73130 stopped 
* thread #1: tid = Ox11daa, 0x000efe48 
MobileMail | lldb unnamed function993$$MobileMail, queue = 
'MessageMiniMall.0x157c2d90, stop reason - breakpoint 3.1 
frame #0: OxO000efe48 
MobileMail | lldb unnamed function993$$MobileMail 
MobileMail | lldb unnamed function993$$MobileMail: 
-» Oxefe48: push {r4, rb, r6, r7, 1r} 
Oxefe4a: add r7, sp, #12 
Oxefe4c:  push.w (r8, r10, r11} 
Oxefe50: sub.w r4, sp, #24 
(lldb) po [[[[$r2 object] copyAllMessages] anyObject ] 
subject] 
Asian Morning: Told to End Protests, Organizers in Hong Kong 
Vow to Expand Them 


可 以 看 到 ，[MFMailMessage subject] [E] EJ 
正 是 邮件 的 标题 。 打 开 MFMessage.h GER, 
MFMessage 是 MIME.framework 里 的 类 ) ， 看 看 它 
的 内 容 ， 如 下 : 


@interface MFMessage : NSObject <NSCopying> 
- (id)headerData; 

- (id)bodyData; 

- (id)summary; 

- (id)bccIifCached; 

- (id)bcc; 

- (id)ccIfCached; 

- (id)cc; 

- (id)toIfCached; 

- (id)to; 

- (id)firstSender; 

- (id)sendersIfCached; 
- (id)senders; 

- (id)dateSent; 

- (id)subject; 

- (id)messageData; 

- (id)messageBody; 

- (id)headers; 


其 中 ， 邮 件 的 收 件 人 、 发 件 人 、 标 题 、 内 容 
等 信息 一 应 俱全 。 用 LLDB 简 单 看 看 它们 的 返回 


值 ， 如 下 : 


Process 73130 stopped 
* thread #1: tid = Ox11daa, 0x000efe48 
MobileMail | lldb unnamed function993$$MobileMail, queue = 
'MessageMiniMall.0x157c2d90, stop reason = breakpoint 3.1 
frame #0: OxO000efe48 
MobileMail | lldb unnamed function993$$MobileMail 
MobileMail' | lldb unnamed function993$$MobileMail: 
-» Oxefe48: push {r4, rb, r6, r7, 1r} 
Oxefe4a: add r7, sp, #12 
Oxefe4c:  push.w (r8, r10, r11} 
Oxefe50: sub.w r4, sp, #24 
(lldb) po [[[[$r2 object] copyAllMessages] anyObject ] 
firstSender | 
NYTimes.com <nytdirect@nytimes.com> 
(lldb) po [[[[$r2 object] copyAllMessages] anyObject] 
sendersIfCached] 
« NSArrayI 0x16850850>( 
NYTimes.com <nytdirect@nytimes.com> 


) 

(lldb) po [[[[$r2 object] copyAllMessages] anyObject] 
senders] 

« NSArrayI 0x16850850>( 

NYTimes.com <nytdirect@nytimes.com> 


) 

(lldb) po [[[[$r2 object] copyAllMessages] anyObject] to] 
<__NSArrayI 0x16850840>( 

snakeninny@gmail.com 


) 

(lldb) po [[[[$r2 object] copyAllMessages] anyObject ] 
dateSent ] 

2014-10-01 21:30:32 +0000 

(lldb) po [[[[$r2 object] copyAllMessages] anyObject ] 
subject] 

Asian Morning: Told to End Protests, Organizers in Hong Kong 
Vow to Expand Them 

(lldb) po [[[[$r2 object] copyAllMessages] anyObject] 
messageBody] 

«MFMimeBody: 0x16852fc0» 


FIERAR T SCBA T, RE 7S FERE 
了 。 其 中 ，firstSender 返 回 了 一 个 发 件 人 ， 而 
sendersIfCached#ilsenders@biX E]  — ^ NSArray. 
说 明 默 认 情 况 下 ， 在 i0S 中 一 封 邮件 是 有 可 能 存在 
多 个 发 件 人 的 。 尽 管 多 个 发 件 人 的 情况 在 现实 生 
活 中 不 常见 (笔者 没 见 过 ) ， 但 为 了 避免 遗漏 ， 
这 里 仍 采用 senders 函 效 来 皖 取 一 封 邮 件 中 所 有 可 
能 的 发 件 人 人 地址。 最 后 的 任务 束 古 把 邮件 标记 为 
已 读 一 一 还 记得 8.2.5 节 末尾 出 现 的 
[MessageMegaMall markMessagesAsViewed:] 吗 ? 
它 是 不 是 把 邮件 标 为 已 读 的 方法 呢 ? 在 这 个 方法 
上 下 一 个 断 点 ， 看 看 在 把 一 封 邮件 标记 为 已 读 
时 ， 它 会 不 会 得 到 调用 。 


TIDA E E fir S [MessageMegaMall 
markMessagesAsViewed:]， 看 看 它 的 基地 址 ， 如 
图 8-17 所 示 。 


a) 
text :0013B648 ; re aage bp-based frame 
text:0013B648 
text:0013B648 ; void _ cdecl -[MessageMegaMall markMessagesAsViewed 
text:0013B648 A MessageMegaMall markMessagesAsViewed _ ; DATA XREF: 
text:0013B648 
text:0013B648 var 10 
text:0013B648 


text:0013B648 (RA-R7 ,LR) 
text:0013B64A R7, SP, #0xC 
text:0013B64C . RS, [SP,fOxC*var 10]! 


图 8-17 [MessageMegaMall 


markMessagesAsViewed: | 


它 的 基地 址 是 0x13b648。 因 为 已 知 
MobileMail 的 ASLR 偏 移 是 0xb2000， 所 以 可 以 和 直 
fe PAR, AP: 


(lldb) br s -a '0x000b2000+0x0013B648' 

Breakpoint 4: where - 

MobileMail' | lldb unnamed function7357$$MobileMail, address 
= 0x001ed648 

Process 103910 stopped 

* thread Z1: tid = 0x195e6, 0x001ed648 

MobileMail | lldb unnamed function?7357$$MobileMail, queue = 


'com.apple.main-thread, stop reason - breakpoint 4.1 
frame #0: 0x001df648 
MobileMail’___ l1db_unnamed_function7357$$MobileMail 
MobileMail’___ lldb unnamed function7357$$MobileMail: 
-> 0x1ed648: push ir4, r5, r6, r7, 1r} 
Oxied64a: add r7, sp, #12 
Oxied64c: str r8, [sp, £-4]! 
Oxied650: mov r8, ro 
(lldb) po $r2 


{ ( 

<MFLibraryMessage 0x157b70b0: library id 906, remote id 
13142, 2014-12-17 22:34:30 +0000, 'Asian Morning: Obama 
Announces U.S. and Cuba Will Resume Relations'> 


)} 
(lldb) po [$r2 class] 
__NSSetI 


LLDB 的 输出 验证 了 之 前 的 猜测 ， 
[MessageMegaMall markMessagesAsViewed:] 就 是 
把 邮件 标 为 已 读 的 方法 ， 且 其 参数 是 一 个 由 
MFLibraryMessage 对 象 组 成 的 NSSet。 至 此 ， 我 们 
MOM EAH EAI ST AGP, FRE T l 
新 完成 ”事件 ， 拿 到 了 所 有 邮件 ， 提 到 了 其 中 的 发 
件 人 地 址 ， 并 能 将 它们 标 为 已 谈 。tweak 原 型 搭建 
WF, ESABI, ARA PENR 


8.8 SpR 


本 章 的 实例 模块 划分 明显 ， 任 务 分 工 明 确 ， 
搭建 tweak 原 型 时 的 思路 非常 清晰 ， 具 体 如 下 。 


1. 和 在 界面 上 寻找 添加 日 名 单 按钮 的 地 方 和 方法 


本 看 既 要 直观 又 要 美观 的 原则 ， 我 们 在 人 簿 单 
尝试 了 几 种 方案 之 后 ， 决 定 把 日 名 单 按钮 添加 在 
Mtailboxes 界 面 的 赤 上 角 。 通 过 Cycript 拿 到 
MailboxPickerController 的 套路 已 是 芍 轻 就 熟 ， 在 
导航 栏 添加 按钮 目 然 古 水 到 渠 成 。 


2. 在 protocol 里 寻找 “ 刷 狐 完成 ?的 啊 应 函数 


同 第 7 章 “ 寻 找 实 时 监测 字数 变化 ”的 方法 一 脉 
相 承 ， 本 章 以 MailboxContentView-Controllerh 中 


的 protocol] 为 线索 ， 通 过 这 历 头 文件 ， 狂 测 天 键 词 
的 方法 ， 找 到 了 “刷新 完成 ?的 啊 应 畏 数 。 经 过 测 
试 ，megaMallMessageCountChanged: 会 在 邮件 数 
量 发 生变 化 时 得 到 调用 ， 符 合 条 件 。 


3. 从 MessageMegaMall 中 拿 到 所 有 邮件 


根据 “协议 方法 和 被 调用 ， 一 般 是 因为 方法 名 中 
所 到 的 那个 事件 发 生 了 ; 而 那 件 事 发 生 的 对 象 ， 
一 般 是 协议 方法 的 参数 "的 经 验 ， 在 
megaMallMessageCountChanged: 的 参数 中 发 现 了 
MessageMegaMall 这 个 类 。“ 大 型 购物 中 心 ” 的 名 字 
很 隐 上 临 ， 通 过 对 它 的 调查 ， 发 现 它 瓯 是 一 个 保存 
了 所 有 邮件 的 M。 调 用 [MessageMegaMall 
copyAllMessages]， 可 以 拿 到 所 有 邮件 e 


4. 从 MFLibraryMessage 中 提取 发 件 人 地 址 


通过 [MessageMegaMall copyAllMessages] 拿 
到 的 邮件 类 型 是 MFLibraryMessage。 通 览 
MFLibraryMessage 及 相关 头 文 件 ， 用 LLDB 测 试 几 
个 可 疑 的 property 和 函数 ， 很 容易 就 可 以 从 中 提取 
发 件 人 地 址 。 


5. 用 MessageMegaMall 将 邮件 标记 为 已 读 


在 调查 MessageMegaMall 上 时 ， 就 已 经 注意 人 到 
了 可 疑 的 markMessagesAsViewed:， 儿 乎 不 需要 测 
斌 束 能 肯定 它 是 将 邮件 标记 为 已 读 的 芳 数 ， 当 
然 ，LLDB 的 测试 结果 也 直接 证 明了 这 个 结论 的 
正确 性 。 


注意 ”为 了 们 化 示例 ，8.4 广 的 日 名 单 仅 仿 有 
一 个 邮箱 地 址 ， 以 UIAlertView 的 形式 展现 给 用 
尸 。 作 为 练习 ， 你 可 以 把 它 扩充 成 一 个 
UITableView， 让 和 它 变 得 更 实用 。 


8.4 编写 tweak 


在 搭建 tweak 原 型 的 阶段 ， 所 有 的 难点 都 已 个 
一 一 攻破 ， 正 式 编 写 tweak 时 只 需要 简单 地 整理 一 
下 8.3 太 的 结论 ， 束 可 以 得 出 的 漂 腕 的 代码 了 了。 


8.4.1 用 Theos 狐 建 tweak 工 程 iOSREMailMarker” 


源 建 IOSREMailMarker 工 程 的 命令 如 下 : 


hangcom-mba:Documents sam$ /opt/theos/bin/nic.pl 
NIC 2.0 - New Instance Creator 
] iphone/application 
] iphone/cydget 
] iphone/framework 
] iphone/library 
[5.] iphone/notification center widget 
] iphone/preference bundle 
] iphone/sbsettingstoggle 
] iphone/tool 
] iphone/tweak 
[10.] iphone/xpc service 
Choose a Template (required): 9 
Project Name (required): iOSREMailMarker 
Package Name [com.yourcompany.iosremailmarker |]: 
com.iosre.mailmarker 


Author/Maintainer Name [sam]: sam 

[iphone/tweak] MobileSubstrate Bundle filter 
[com.apple.springboard]: com.apple.mobilemail 
[iphone/tweak] List of applications to terminate upon 


installation (space-separated, '-' for none) [SpringBoard]: 
MobileMail 

Instantiating iphone/tweak in iosremailmarker/... 

Done. 


8.4. ”构造 iDSREMailMarkerh 


编辑 后 的 IOSREMailMarkerh 内 容 如 下 : 


@interface MailboxPickerController : UITableViewController 
Qend 

Qinterface NSConcreteNotification : NSNotification 
Qend 

Qinterface MessageMegaMall : NSObject 

- (void)markMessagesAsViewed:(NSSet *)arg1; 

- (NSSet *)copyAllMessages; 

Qend 

Qinterface MFMessageInfo : NSObject 

Qproperty (nonatomic) BOOL read; 

Qend 

Qinterface MFLibraryMessage : NSObject 

- (NSArray *)senders; 

- (MFMessageInfo *)copyMessageInfo; 

Qend 


这 个 头 文 件 的 所 有 内 容 均 摘 目 类 对 应 的 头 文 
件 ， 构 人造 它 的 目的 仅仅 是 通 过 编译 ， 避 免 出 现任 


fe] TER S IRURE ER 


8.4.3 ”编辑 Tweak.xm 


编辑 后 的 Tweak.xm 内 容 如 下 : 


#import "iOSREMailMarker.h" 
%hook MailboxPickerController 
96new 

(void)iOSREShowWhitelist 


UIAlertController *alertController = 
[UIAlertController alertControllerwithTitle:@"Whitelist" 
message:@"Please input an email address" 
preferredStyle:UIAlertControllerStyleAlert]; 

UIAlertAction *okAction - [UIAlertAction 
actionWithTitle:Q"OK" style:UIAlert ActionStyleDefault 
handler:^(UIAlertAction * action) { 

UITextField *whitelistField - 
alertController.textFields.firstObject; 

if ([whitelistField.text length] !- 0) 
[[NSUserDefaults standardUser Defaults] 
setObject:whitelistField.text forKey:Q"whitelist"]; 

Ia 

UIAlertAction *cancelAction - [UIAlertAction 
actionWithTitle:Q"Cancel" style: UIAlertActionStyleCancel 
handler:nil]; 

[alertController addAction:okAction]|; 

[alertController addAction:cancelAction]; 

[alertController 
addTextFieldwithConfigurationHandler:^(UITextField 
*textField) { 

textField.placeholder - Q"snakeninnyQgmail.com"; 
textField.text - [[NSUserDefaults 
standardUserDefaults] objectForKey: @"whitelist"]; 


}]; 


[self presentViewController:alertController 
animated:YES completion:nil]; 


- (void)viewWillAppear:(BOOL)arg1 


i 
self.navigationItem.leftBarButtonItem = 
[[[UIBarButtonItem alloc] initWith Title: @"Whitelist" 
style:UIBarButtonItemStylePlain target:self 
action:Qselector(iOSREShowWhitelist)] autorelease]; 
%orig; 
} 
%end 
%hook MailboxContentViewController 
- (void)megaMallMessageCountChanged: (NSConcreteNotification 
*)argi 
{ 
%orig; 
NSMutableSet *targetMessages = [NSMutableSet 
setWithCapacity:600]; 
NSString *whitelist = [[NSUserDefaults 
standardUserDefaults] objectForKey: @"whitelist"]; 
MessageMegaMal *mall = [argi object]; 
NSSet *messages - [mall copyAllMessages]; // Remember 
to release it later 
for (MFLibraryMessage *message in messages) 
1 
MFMessageInfo *messageInfo = [message 
copyMessageInfo]; // Remember to release it later 
for (NSString *sender in [message senders]) if 
(!messageInfo.read && [sender rangeOfString:[NSString 
stringwWithFormat:@"<%@>", whitelist]].location == 
NSNotFound) [targetMessages addObject:message]; 
[messageInfo release]; 
} 
[messages release]; 
[mall markMessagesAsViewed:targetMessages]|; 


%end 


8.4.4 编辑 Makefile 及 control 


编辑 后 的 Makefile 内 容 如 下 : 


THEOS DEVICE IP = iOSIP 
ARCHS = armv7 arm64 
TARGET = iphone: latest:8.0 
include theos/makefiles/common.mk 
TWEAK_NAME = iOSREMailMarker 
iOSREMailMarker FILES = Tweak.xm 
iOSREMailMarker FRAMEWORKS = UIKit 
include $(THEOS MAKE PATH)/tweak.mk 
after-install:: 

install.exec "killall -9 MobileMail" 


编辑 后 的 control 内 容 如 下 : 


Package: com.iosre.mailmarker 

Name: iOSREMailMarker 

Depends: mobilesubstrate, firmware (»- 8.0) 
Version: 1.0 

Architecture: iphoneos-arm 

Description: Mark non-whitelist emails as read! 
Maintainer: sam 

Author: sam 

Section: Tweaks 

Homepage: http://bbs.iosre.com 


8.4.5 测试 


将 写 好 的 tweak 编 译 打 包 安 装 到 iOS 后 ， 打 开 
Mail， 因 为 还 没 配置 iOSREMailMarker， 所 以 Mail 
跟 以 前 没什么 两 样 。 此 时 ， 收 件 箱 里 一 共有 44 封 
未 读 邮 件 ， 如 图 8-18 所 示 。 


进入 Mailboxes 寞 面 ， 左 上 角 狐 增 了 一 
个 “Whitelist" 按 钮 。 点 击 它 ， 弹 出 一 个 日 名 单 编 辑 
对 话 框 ， 如 图 8-19 所 示 。 
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Q Search 


@ NYTimes.com 06:39 
Asian Morning: Obama Vows U.S. Re... 
View in Browser Add 
nytdirect@nytimes.com to your addre... 


@ CT Lane 
"FTU PET "e tae tiirk 


LET Sg 
“pee AF A etre 


@ TI Labs 
res peels "m dance Bad 


@ CZ Lar 
Updated Just Now [^ 


44 Unread 


图 8-18 iOSREMailMarker7k fd SATAS Mail 


Whitelist 


Please input an email address 
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18-19 ”日 名 单 编 辑 对 话 框 


笔者 订阅 了 一 份 纽约 时 报 ， 每 天 都 会 花 上 15 
分 钟 左右 了 解 当 日 时 事 。 把 纽约 时 报 的 订阅 邮箱 
地 址 加 入 日 名 单 ， 如 图 8-20 所 示 。 


最 后 给 日 己 发 一 封 邮件 ， 触 发 
megaMallMessageCountChanged: 函 数 。 在 成 功 收 
到 这 封 邮件 后 ， 除 了 纽约 时 报 以 外 的 所 有 邮件 均 
令 标 记 为 已 读 ， 收 件 箱 里 只 剩 1 封 来 目 纽约 时 报 的 
未 读 邮 件 ， 如 图 8-21 所 示 。 


Whitelist 


Please input an email address 


nytdirect@nytimes.com 


OK Cancel 
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图 8-20 ”把 纽约 时 报 的 订阅 邮箱 地 址 加 入 白 名 单 
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图 8-21 ”iOSREMailMarker 将 纽约 时 报 以 外 的 邮件 
标记 为 已 该 


8.5 ”小 结 


本 章 以 Mail 为 目标 ， 给 它 添加 了 白 名 单 以 外 
的 邮件 均 自动 标记 为 已 读 的 功能 ， 能 够 从 一 定 程 
度 上 突出 收 件 箱 中 的 重点 内 容 。 
iOSREMailMarker 的 过 滤 条 件 略 显 简单 ， 将 邮件 
直接 标记 为 已 读 的 方案 也 不 一 定 适合 所 有 人 ， 项 
望 读者 能 够 在 阅读 过 程 中 举一反三 ， 模 仿 本 章 思 
路 打造 属于 自己 的 独一无二 的 Mail 插 件 ， 然 后 来 
http://bbs.iosre.com 分 享 你 的 成 果 。 经 过 两 章 实 
战 ， 相 信 大 家 有 跟 笔 者 一 样 的 体会 :在 iOS 逆 向 工 
程 中 ， 需 要 工具 未 动 ， 思 想 先 行 。 只 有 在 前 期 对 
目标 的 分 析 过 程 中 下 足 工 夫 ， 后 期 的 tweak 编 写 才 
会 如 鱼 得 水 。 刻 同 工 程 行业 的 前 过 TiGa 曾 说 : “A 


reverser should know how/what is done before 
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grabbing tools to complete the tasks automatically", 
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者 ， 和 在 国内 更 和 羡 当之无愧 的 业界 老大 。 它 已 经 融 
入 到 我 们 大 多 数 人 的 生活 中 了 ， 想 必 不 用 再 多 费 
口舌 去 介绍 它 。 微 信 的 局 动画 面 如 图 9-1 所 示 ， 天 
气 之 中 流露 出 一 股 淡淡 的 忧 仿 。 


2014 年 10 月 3 日 ， 微 信 更 新 了 6.0 版 ， 新 增 了 
小 视频 功能 。 这 个 功能 很 好 玩 ， 各 种 各 样 的 小 视 
频 很 快 束 占领 了 朋友 图 ， 如 图 9-2 所 示 。 


虽然 我 们 已 经 可 以 通过 长 按 小 视频 窗口 ， 在 
弹出 的 某 单 里 点 击 “*Favorite”， 把 感 兴趣 的 内 容 标 


记 下 来 (如 图 9-3 所 示 ) ， 但 笔者 还 不 太 满 意 一 一 
如 果 能 把 小 视频 保存 在 本 地 ， 不 管 联 不 联网 ， 有 
没有 微 信 ， 都 能 想 看 就 看 ， 那 就 好 了 ! 男 外 ， 小 
视频 是 从 微 信 的 服务 器 下 载 的 ， 如 果 能 拿 到 下 载 
的 URL， 束 可 以 在 PC 中 下 载 ， 或 者 把 它 发布 到 其 
他 平台 ， 跟 非 微 信 好 友 分 圣 那 就 更 好 了 。 婚 然 如 
此 ， 本 章 的 目标 就 是 在 小 视频 播放 窗口 的 长 按 采 
单 里 添加 “保存 到 本 地 ”和 “复制 URL” 两 个 选项 ， 
然后 完善 对 应 的 功能 。 


微 信 6.0 版 已 经 超过 80MB， 逆 向 工程 的 工作 
量 不 小 ， 难 度 也 比 绝 大 多 数 App 要 大 。 按 照 惯 
例 ， 在 使 用 工具 开始 逆向 工程 之 前 ， 移 分 析 一 下 
抽象 的 目标 ， 把 它 具 体 化 ， 然 后 制定 这 次 逆向 工 
程 的 思路 ， 再 贯彻 思想 实地 执行 。 下 面 的 操作 是 


在 iPhone 5 ` iOS 8.1、 微 信 6.0 中 完成 的 。 在 本 书 
出 版 后 ， 微 信 很 可 能 也 升级 到 了 更 高 的 版 本 ， 下 
面 的 操作 会 有 一 些 细节 上 的 变化 ， 但 总 体 思路 是 
不 变 的 ， 笔 者 会 及 时 把 最 新 的 分 析 过 程 更 新 在 
http://bbs.iosre.com 上 ， 请 大 家 关注 。 
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Al9-2 ”人 微 信 小 视频 
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图 9-3 ”小 视频 菜单 


9.2 ”搭建 tweak 原 型 


9.2.1 ”观察 小 视频 播放 窗口 ， 寻 找 敢 辣 切 入 所 


首先 在 “ 微 
IF” 2 “Me” "Settings" ^ “General” > “Sights in 
Moments” 中 ， 将 小 视频 的 目 动 播放 选项 调整 
到 *Never”， 如 图 9-4 所 示 。 
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图 9-4 WA ROAM 


再 看 一 下 图 9-3 所 示 的 界面 ， 长 按 小 视频 播放 
口 ， 会 弹出 “Favorite” 和 “Report Abuse” 两 个 选 
项 。 这 个 现象 说 明 播 放宽 口 已 经 可 以 啊 应 长 按 手 
势 ， 现 在 只 要 找到 长 按 手 势 对 应 的 函数 ， 钧 住 
(hook) 它 ， 就 可 以 添加 含有 “保存 到 本 地 ”和 和 “ 复 
制 URL? 两 个 选项 的 目 定义 荣 单 了 。 


小 视频 播放 窗口 的 播放 按钮 下 有 一 行 

=, “Tap to download”， 也 就 是 说 微 信 会 完 下 载 小 
视频 到 iOS 中 ， 再 离线 播放 。 这 一 现象 说 明 小 视频 
模块 里 本 来 就 含有 一 个 下 载 URL， 和 一 个 下 载 好 
的 视频 文件 ， 要 达到 目标 ， 只 需 通 过 逆向 工程 找 
到 这 个 URL 和 视频 文件 就 行 了 。 经 过 前 几 章 的 洗 
礼 ， 相 信 读 者 对 MVC 的 理解 一 定 比 开发 App 更 深 
入 了 ， 如 果 能 够 拿 到 小 视频 的 Vv， 那 么 含有 URL 和 
视频 对 象 的 M 就 近 在 装 尺 了 。 


好 了 ， 本 章 的 目标 功能 已 经 被 微 信 实现 ， 只 
需要 找到 它们 在 微 信 中 的 位 置 ， 拿 来 为 我 们 所 用 
束 好 了 ， 没 有 必要 重新 发 明 轮 了 于。 为 了 退 求 性 价 
比 ， 用 尽 可 能 少 的 逆向 工程 达到 目的 ， 我 们 不 会 
过 分 六 格 地 推导 微 信 的 逻辑 ， 而 是 尽 可 能 地 在 通 
过 class-dump 叶 出 的 头 文 件 中 寻找 关键 子 ， 然 后 用 
其 他 工具 配合 验证 猜测 ， 最 终 达 到 提取 小 视频 信 
轧 的 目的 。 


9.2.2 class-dump 获 取 头 文件 


首先 用 dumpdecrypted 给 微 信 古 碗 ， 过 程 比较 
何 单 ， 这 里 就 不 细致 接 述 了 。 值 得 一 提 的 是 ， 做 
信 的 可 执行 文件 名 既 不 叫 “WeiXin”， 也 不 
MY “WeChat”, MIH *MicroMessenger" » £F Ait 77 


后 的 可 执行 文件 时 ， 先 把 它 丢 到 IDA 里 开始 分 析 ， 
然后 用 class-dump 导 出 它 的 头 文 件 ， 如 下 : 


snakeninnysiMac:- Snakeninny$ class-dump -S -s -H 
~/MicroMessenger -o -/header6.0 


执行 上 述 命 令 ， 发 现 一 共生 成 了 5225 个 头 文 
件 ， 如 图 9-5 所 示 。 


微 信 算 是 笔者 见 过 的 头 文件 数目 最 多 的 App 
了 ，5000+ 的 数目 如 果真 要 让 虽 们 一 个 个 过 ， 那 得 
看 到 猴 年 马 月 去 。 即 使 是 正 向 开发 ， 这 种 级 别 的 
工程 量 也 不 大 可 能 由 一 个 团队 单独 完成 一 一 估计 
腾讯 内 部 是 把 微 信 拆 分 成 了 者 干 模块 ， 比 如 朋友 
圈 是 一 个 模块 ，IM 是 一 个 模块 ， 漂 流 瓶 是 一 个 模 
块 ， 小 视频 是 一 个 模块 ， 然 后 分 别 组 建 团 队 编写 


A HÍTQBUEBGR, ma MS —TSALE, 
这 样 的 分 工 苏 作 最 终 实 现 了 微 信 这 样 一 个 App。 
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图 9-5” 微 信 6.0 头 文件 
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9.2.3 把头 文 件 导 入 Xcode 


把 微 信 的 头 文 件 导入 一 个 空 的 Xcode 工程 中 ， 
如 图 9-6 所 示 。 


weir Ready | Today at 2041 
WCMedialtem ^ WC Sight view n MicroMess.. Delegate.n 
< B webm ^ OD ween > 并 header&0 ^ h MicroMessengerAppDelegato.^ 


/f 
I Generated by class-duep 3.4 (64 bit) (Debug version compiled Ox 
/f 
7] class-dump is Copyright (C) 1997-1998, 2000-2901, 2004-2012 by 
tt 


Sitport ""MUIMesponder. h” 


Bieport "ResourceMonitorDelegate, h” 
#import "UiAlertViewOelegate. h* 
Sieport "UIApolicat 1onDelegate. h” 


$class CAppObserverCenter, CAppViewControllerManager, OMainControll, 
ResourceMonitor, UlLabel, UIWi^dow; 


mitt MicroMessengerAppDelegate : MMUIResponder «UIAoplicatiornOe 


CAppObserverCenter »m appÜOoserverCenter; 
COMainControll em eainController; 
MMServiceCenter «m serviceCenter; 
CApopViewControllerManager «e appViewControllerMgr; 
NSString em nsToken; 

NSString em nsSound; 

NSString em nsVoipSound; 

unsigned long e uLastTieeResignActive; 
loog m tTotalRunningTime; 

lung m tLastActiveTine; 

int m appVerCospareWithLastfua; 

BOOL m isActive; 

UILabel «e changeValueLabel; 

UILabel em resourceLabel; 

MMUIWi^dow «e resourcewi1adow; 
Resourceinfo «m lastResourceInfo; 
ResourceMonitor ee resourceMonitor; 
NSRecursivelock emActivelock; 

G00L mInBackgroumd; 

CDUnknownBlockType e fetchConplet iontand ter; 
UIWindow * window; 


^ 
^ 
^ 
E 
LH 
^ 
^ 
^ 
^ 
^ 
^ 
^ 
^ 
^ 
^ 
^ 
^ 
A 
A 
^ 
a 
A 
A 
^ 
^ 
^ 
LI 
^ 
^ 
^ 


reperty( retain, nonatomic) NSRecursiveLock emActiveLock; // synthe 


9-6 ”把头 文 件 导 入 Xcode 


Xcode 目 市 的 查找 功能 和 代码 融 腕 显示 能 够 较 
为 美观 整洁 地 展示 大 量 头 文件 。 搂 下 来 ， 我 们 开 
人 寻找 线索 ， 从 App 切 入 代码 。 


9.2.4 用 Reveal 找 到 小 视频 播放 窗口 


配置 Reveal 查 看 微 信 的 方法 也 很 简单 ， 此 处 不 
敖 述 。 局 动 微 信 并 进入 朋友 圈 ， 找 一 个 小 视 
频 ， 用 Reveal 看 看 当前 的 UI 布局 ， 如 图 9-7 所 示 。 
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E MMUILongPressimageView 


= UlButton 
KY UriLabel 
FY RichTextView: LLBean shirt with 
v. WCContentitemViewTemplateNe 
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E) UlimageView 


v UlVIew 


UlView iOSRE 
' SighticonView Guess what this is? SpongeBob 
FÑ MMUiLabe baby powder &ð 


Kl9-7 用 Reveal 查 看 微 信 UI 布 局 


在 图 9-7 中 一 上 服 束 能 看 到 左 侧 的 树 形 结构 图 中 
出 现 了 “LLBean shirt with nice fabric” 有 的 字 服 ， 与 UI 


中 显示 的 文字 吻合 。 继 续 查 看 这 个 RichTextView 附 
近 的 view， 很 容易 加 可 以 定位 小 视频 播放 窗口 , 
如 图 9-8 所 示 。 


FEY MMUILabe 


< Discover Moments 


iOSRE 
LLBean shirt with nice fabric S? 


iOSRE 


Guess what this is? SpongeBob 
baby powder x 


图 9-8 找到 小 视频 播放 窗口 


小 视频 的 播放 窗口 是 一 个 
WCContentItemViewTemplateNewSight*] & ° wid 


得 前 面 在 recursiveDescription 部 分 讲 过 的 缩 进 原则 


I? 依照 “ 缩 进 多 的 view 坪 缩 进 少 的 View 的 
subview” 的 原则 ， 可 分 析出 
WCContentItemViewTemplateNewSightH*subview/f3 
WCSightView 等 ， 而 WCSightView 上 的 subview 则 有 
UIImageView 和 SightPlayerView 等 。 因 为 微 信 小 视 
频 的 天 文 名 束 叫 “sight*?， 所 以 这 几 个 类 是 重点 天 注 
对 象 。 


9.2.5 ”找到 长 按 手 劳 啊 应 函数 


要 在 iOS 中 添加 长 按 手势 ， 一 般 是 通过 
addGestureRecognizer: 方 法 来 实现 的 ， 有 既然 长 按 小 
钢 频 播 放 窗 口 会 弹出 菜单 ， 那 么 长 按 手势 很 有 可 

能 是 直接 添加 在 小 视频 播放 窗口 上 的 。 这 个 播放 
口 是 一 个 WCContentltemViewTemplateNewSight 


对 象 ， 看 看 它 的 头 文 件 里 有 些 什 么 ， 如 下 : 


Qinterface WCContentItemViewTemplateNewSight : 
WCContentItemBaseView «WCAction Sheet Delegate, 
SessionSelectControllerDelegate, WCSightView Delegate» 
- (void)onMore:(id)argi; 

- (void)onFavoriteAdd:(id)arg1; 

- (void)onLongTouch; 

- (void)onShowSightAction; 

- (void)onLongPressedwCSightFullScreenwindow: (id)arg1; 
- (void)onLongPressedWCSight:(id)argi; 

- (void)onClickwCSight:(id)arg1; 


在 上 面 的 代码 中 ， 那 几 个 含 
有 “LongTouch”、“LongPressed” 字 有 眼 的 函数 很 可 能 
就 是 我 们 寻找 的 长 按 手势 响应 函数 。IDA 对 微 信 的 
Mea NZ GAZE RS, TEIDA BER —ERIS LT 
函数 都 做 了 些 什 么 ， 先 看 看 onLongTouch， 如 图 9- 
9 所 示 。 


图 9-9 onLongTouch 


这 个 函数 的 流程 非常 简单 ， 从 上 往 下 浏览 ， 
很 容易 束 可 以 看 到 “UIMenuController” 的 字眼 ， 如 
图 9-10 所 示 。 


j. objc msgSend 

RO, #(selRef_becomeFirstResponder - Ox4BEBEE) 

RO, PC ; selRef  becomeFirstResponder 
"becomeFirstResponder" 


jc msgSend 
$(selRef sharedMenuController - Ox4BECO8) 
$(classRef UIMenuController -~ Ox4BECOA) ; 


PC ; selRef sharedMenuController 

PC ; classRef | UIMenuController 

[RO] ; "sharedMenuController" 

[R2] ; 0OBJC CLASS $ UIMenuController 
j. 0objc : 
a pt 24] 


图 9-10 onLongTouch (1) 


也 可 以 看 到 “Favorite” 的 字眼 ， 如 图 9-11 所 


R2, PC ; "Favorites Add 
R11, [R1] ; "getStringForCurLanguage:defaultTo:" 
R2 


` #(selRef_initwithTitle action_ 
#(selRef onFavoriteAdd 


PC ; selRef_ initwithTitle | action 
PC ; selRef  onFavoriteAdd 
"initWithTitle:action: 


9-11 onLongTouch (2) 


除非 这 些 字眼 者 十 微 信和 有 有 意 拿 来 迷惑 我 们 
的 ， 否 则 这 个 [WCContentItemViewTemplate- 
NewSight onLongTouch] 十 有 八 九 就 是 要 找 的 长 按 
手势 啊 应 五 数 。 先 不 看 急 下 结论 ， 把 市 
有 “LongPressed” 天 键 字 的 函数 也 浏览 一 过 ， 如 图 
9-12 所 示 。 


MET rchr 
, di — -a t(selRef logWithLevel module file line func format  - Ox 
5, 


, = 
R2, Hu upperló: (c n cnl ariet prèn sse- 
, 
, fox 86 
7 (R1) 3 logWithLevel:module:file:line:func:form 
RO, #1 
, {RO, R6} 
0, 
, [SP,tOx1C*var 14] 


’ 
, (SP, ¢0xlc+var_10) 


, 
objc msgsSend 
F $osimt.. gr tAction ~ Ox21E4EB8) ; selRef onShowSightAction 
orent en tAction 
on p 


图 9-12 onLongPressedWCSightFullScreenWindow: 


看 上 去 是 记录 了 一 些 信息 ， 然 后 调用 了 
onShowSightAction。 接 下 来 看 看 onShowSight- 


Action 痢 做 了 些 什么 ， 如 图 9-13 所 示 。 


从 图 9-13 可 以 看 到 ， 这 个 函数 的 一 开始 束 创 建 
了 一 个 WCActionSheet 对 象 ， 既 然 名 字 是 
ActionSheet， 它 的 表现 形式 可 能 与 UIActionSheet 
其 不 多 ， 而 我 们 在 长 按 小 视频 播放 窗口 根本 没 看 
到 写 UIActionSheet 类 似 的 效果 出 现 ， 因 此 可 以 判 
I onLongPressedWCSightFull-ScreenWindow: PJ fi 
不 是 我 们 要 找 的 函数 。 


接 看 看 最 后 一 个 函数 ， 
onLongPressedWCSight:， 如 图 9-14 所 示 ° 


从 图 9-14 可 以 看 到 ， 它 记录 了 一 些 信息 ， 然 后 
调用 了 onLongTouch， 这 从 侧面 印证 了 我 们 的 猜 
测 。 接 下 来 ， 请 出 LLDB， 测 测 
onLongPressedWCSightFullScreenWindow: 和 


onLongTouch 的 调用 情况 。 先 用 debugserver 附 加 
MicroMessenger， 如 下 : 


; WCContentItemViewTemplateNewSight ~ (void)onShowSightAction 
; Attributes: bp-based frame 


; void _ cdecl -[WCContentItemViewTemplateNewSight onShowSightAction] 
. WCContentItemViewTemplateNewSight onShowSightAction 


var 38* 
var 34- 


LIT 
Nw 
oo 

"ow 


{R4-R7 , LR} 
R7, SP, #0xC 
(R8,R10,R11) 
SP, #0x20 
RO 
(SP, #0x38+var_1C] 
#(selRef_alloc - 0x21E516) ; selRef_alloc 
#(classRef_WCActionSheet - 0x21E518) ; classRef ! 
PC ; selRef alloc 
PC ; classRef WCActionSheet 
[RO] ; "alloc" 
[R2] ; OBJC CLASS $ WCActionSheet 
j. objc msgSend 
1 | Dianani | 
0 


#(:upperl6: (selRef_initWithTitle delegate cance 
[SP,f0x38*var 38] 
PC ; selRef initWithTitle delegate cancelButtonTi 
[SP,$0x38*var 34] 

#0x38+var 30 


图 9-13 onShowSightAction 


. Strrchr 
$(:lowerl6:(selRef logWithLevel module file line func fo 
R6, #0x6C 
$(:upperi6:(selRef logWithLevel module file line func fo 
#(:lowerl6:(cfstr_Onlongpressedw - Ox21E456)) ; “onLongP 
PC ; selRef logWithLevel module file line func format 
#(:upperl6: (cfstr_Onlongpressedw - 0x21E456)) ; "onLongP 

"onLongPressedWCSight" 


; "logWithLevel:module:file:line:func:form"... 


[SP,fOxlC*var 14] 
#0 


(SP, #0x1Ctvar 10] 
#1 
j__objc_msgSend 
RO, #(selRef_onLongTouch - 0x21E478) ; selRef onLongTouch 
RO, PC ; selRef _onLongTouch 
Rl, ; "onLongTouch" 
RO, 
SP, SP, #0x10 
{R4-R7,LR} 
° j j 0bjc msgSend 0 
; End of function -[WCContentItemViewTemplateNewSight onLongPressedWCSight:] 


图 9-14  onLongPressedWCSight: 


snakeninnysiMac:Documents snakeninny$ ssh rootQlocalhost -p 
2222 

FunMaker-5:- root# debugserver *:1234 -a MicroMessenger 
debugserver -Q(£)PROGRAM:debugserver  PROJECT:debugserver- 
320.2.89 

for armv7. 
Attaching to process MicroMessenger... 

Listening to port 1234 for a connection from *... 

Waiting for debugger instructions for process 0. 


然后 看 看 微 信 的 ASLR 偏 移 ， 如 下 : 


(lldb) image list -o -f 

[ ©] 0x00000000 
/private/var/mobile/Containers/Bundle/Application/E4EBD049- 
1A75-4830-BC65- 
0132COEBCA1CA/MicroMessenger.app/MicroMessenger (0x000000000000 
4000) 


[ 1] 0x022dco00 
/Library/MobileSubstrate/MobileSubstrate.dylib(0x00000000022d 
c000) 


微 信 的 ASLR 侦 移 定 0。 接 看 看 看 
onLongPressedWCSightFullScreenWindow: fH 
onLong Touch 的 基地 址 ， 如 图 9-15 和 图 9-16 所 示 。 


=z 100 7 ; WOConten 
acte ; Attributes: 


text:00215E4 


text 100118484 ) void _ cdecl -[WCContentItezViewTenplateNewSight onLongPres pt 
text:0021E484 _ WCContentlItemViewTemplateNewSight onLongPressedWCSightFullScreenWindow 

text 100212484 DATA __objc_const:01AF7368 0 
text:00215E484 

text:0021E484 var 14 = -0xl4 

text:0021bE484 var 10 = -0x10 


{R4-R7,LR} 
R7 


| text:0021E48C RO, S (classnet AConsole ~ Ox21E4A0) 


图 9-15 onLongPressedWCSightFullScreenWindow: 
的 基地 址 


text:0021E7EC ; WCContentItemViewTemplateNewSight ~ (void)onLongTouch 
text:0021E7EC ; Attributes: bp-based frame 

text :0021E7EC 

text :0021E7EC void _ cdecl -[WCContentItemViewTemplateNewSight onLongTouch] 
text:0021E7EC __WCContentItemViewTemplateNewSight onLongTouch _ 


text :0021E7EC ; DATA XREF: — objc con 
text:0021E7EC 
text:0021E7EC = -0x2C 


text :0021E7EC = -0x28 

text :0021E7EC = -0x24 

text :0021E7EC = -0x20 

text :0021E7EC = -Oxic 

text :0021E7EC 

text :0021E7EC PUSH {R4-R7,LR} 
text :0021E7EE ADD R7, SP, #0xC 
text:0021E7FO0 . {R8,R10,R11} 


图 9-16 ”onLongTouch 的 基地 址 


它们 的 基地 址 分 别 是 0x2le484 和 0x21le7ec。 下 
面 在 两 个 函数 的 开头 各 下 一 个 断 点 ， 看 看 长 按 小 
视频 播放 窗口 后 ， 断 点 会 不 会 彼 触 发 ， 如 下 : 


(lldb) br s -a 0x21e484 
Breakpoint 3: where = 
MicroMessenger _ | lldb unnamed function9789$$MicroMessenger, 
address - 0x0021e484 
(lldb) br s -a Ox21e7ec 
Breakpoint 4: where - 
MicroMessenger' | lldb unnamed function9791$$MicroMessenger, 
address - 0x0021e7ec 
Process 184500 stopped 
* thread #1: tid = Ox2dOb4, 0x0021e7ec 
MicroMessenger' | lldb unnamed function9791$$MicroMessenger, 
queue - 'com.apple.main-thread, stop reason - breakpoint 4.1 

frame #0: 0x0021e7ec 
MicroMessenger' | lldb unnamed function9791$$MicroMessenger 
MicroMessenger?' | lldb unnamed function9791$$MicroMessenger: 
-> @x21e7ec: push {r4, r5, r6, r7, 1r} 

Ox21e7ee: add r7, sp, #12 

Ox21e7f0: push.w {r8, r10, r11} 

Ox21e7f4: sub sp, #32 
(lldb) p (char *)$r1 
(char *) $0 = 0x017fdc2b "onLongTouch" 
(lldb) c 
Process 184500 resuming 
Process 184500 stopped 
* thread #1: tid = Ox2dOb4, 0x0021e7ec 
MicroMessenger' | lldb unnamed function9791$$MicroMessenger, 
queue - 'com.apple.main-thread, stop reason - breakpoint 4.1 

frame #0: 0x0021e7ec 
MicroMessenger' | lldb unnamed function9791$$MicroMessenger 
MicroMessenger' | lldb unnamed function9791$$MicroMessenger: 
-> @x21e7ec: push {r4, r5, r6, r7, 1r} 

0x21e7ee: add r7, sp, #12 

0x21e7f0:  push.w (r8, r10, r11} 

0x21e7f4: sub sp, #32 


(lldb) p (char *)$r1 
(char *) $1 = 0x017fdc2b "onLongTouch" 


可 以 看 天 ，onLongTouch 被 调用 了 2 次 ， 而 
onLongPressedWCSightFullScreenWindow: 5H fi 
调用 。 再 看 看 onLongPressedWCSight: 的 调用 情 
况 ， 它 的 基地 址 如 图 9-17 所 示 。 


|. text:00 ; WCConten mV pia 1 nLongPressedWCs 
text:0021E414 ; Attributes: bp-based frame 


text:0021E414 ; void X cdecl -[WCContentItemViewTemplateNewSight onLongPressedWCSight:] 
414 _ WCContentlItoemVioewToemplatoNewSight onLongProssodWCSight 
; DATA $ 


objc const:01AF735 


_ text:0021bE414 var 14 
|. text:0021E414 var 10 
text:0021E414 
| text:0021E414 (RA-R7,LR) 
|. text:0021E416 R7, SP, #0xC 
|. text:0021E418 SP, SP, #0x10 
text:0021E41A R4, RO 


图 9-17 ”onLongPressedWCSight: 的 基地 址 


a PDAS. BEERDA, UM 
下 : 


(lldb) c 

Process 184500 resuming 

(lldb) br del 

About to delete all breakpoints, do you want to do that?: 
[Y/n] y 

All breakpoints removed. (2 breakpoints) 


(lldb) br s -a 0x21e414 
Breakpoint 5: where - 
MicroMessenger . lldb unnamed function9788$$MicroMessenger, 
address - 0x0021e414 
Process 184500 stopped 
* thread #1: tid = Ox2d0b4, 0x0021e414 
MicroMessenger . lldb unnamed function9788$$MicroMessenger, 
queue - 'com.apple.main-thread, stop reason - breakpoint 5.1 

frame #0: 0x0021e414 
MicroMessenger' | lldb unnamed function9788$$MicroMessenger 
MicroMessenger' | lldb unnamed function9788$$MicroMessenger: 
-> @x21e414: push (r4, r5, r6, r7, 1r} 

0x21e416: add r7, sp, #12 

0x21e418: sub sp, #16 

Ox21e41a: mov r4, rO 
(lldb) p (char *)$r1 
(char *) $2 = 0x0182c799 "onLongPressedWCSight :" 
(lldb) c 
Process 184500 resuming 
Process 184500 stopped 
* thread #1: tid = Ox2dOb4, 0x0021e414 
MicroMessenger . lldb unnamed function9788$$MicroMessenger, 
queue - 'com.apple.main-thread, stop reason - breakpoint 5.1 

frame #0: 0x0021e414 

MicroMessenger' | lldb unnamed function9788$$MicroMessenger 
MicroMessenger' | lldb unnamed function9788$$MicroMessenger: 
-> @x21e414: push {r4, r5, r6, r7, 1r} 

0x21e416: add r7, sp, #12 

0x21e418: sub sp, #16 

Ox21e41a: mov r4, rO 
(lldb) p (char *)$r1 
(char *) $3 = 0x0182c799 "onLongPressedWCSight:" 
(lldb) po $r2 
<wCSightView: 0x2454dc0; baseClass = UIControl; frame = (0 3; 
200 150); gestureRecognizers = <NSArray: 0x87e5110»; layer = 
<CALayer: Oxd3be460>> 


A] 


iX E onLongPressedWC Sight: tE 8 Val HF] f 27K, 
且 其 参数 是 一 个 WCSightView 对 象 。 到 此 ， 我 们 已 


S 


经 定位 到 了 小 视频 播放 窗口 的 长 按 啊 应 函数 ， 即 
onLongPressedWCSight: £&onLongTouch, $2 See 
要 开始 寻找 小 视频 的 踩 影 了 o? 


9.2.6 ”用 Cycript 定 位 小 视频 的 controller 


首 完 点 击 小 视频 窗口 中 的 “Tap to download”, 
把 视频 下 载 到 本 机 ， 如 图 9-18 所 示 。 


中 国联 通 > 00:56 


«Discover Moments 


iOSRE 
LLBean shirt with nice fabric 


1 hour ago 


iOSRE 
Guess what this is? SpongeBob 


baby powder 


1 hour ago 


图 9-18 ”下载 小 视频 


FEJA, “Tap to download” 字 样 消失 。 通 
过 V 拿 到 C 进 而 定位 M 的 过 程 前 面 已 经 重复 过 很 多 
次 了 ， 这 里 直接 探 作 起 来 ， 如 下 : 


FunMaker-5:- root£ cycript -p MicroMessenger 
cy# ?expand 
expand -- true 
cy# [[UIApp keyWindow] recursiveDescription] 
@"<iConsoleWindow: 0x2392e50; baseClass = UIWindow; frame = 
(0 0; 320 568); gestureRecognizers = <NSArray: 0x2391b00>; 
layer = <UIWindowLayer: 0x2391690>> 

| <UILayoutContainerView: 0x7e71870; frame = (0 0; 320 
568); autoresize = W-*H; layer = <CALayer: 0x7e71830>> 

| | <UITransitionView: 0x7e720b0; frame = (0 0; 320 
568); clipsToBounds = YES; autoresize = W*H; layer = 
<CALayer: 0x7e722a0»» 


| | | | | | | | | | | | 
| «wCContentItemViewTemplateNewSight: Oxd3be3e0; frame = (61 


64; 200 153); clipsToBounds - YES; layer - «CALayer: 
0x7e922d0»» 

| | | | | | | | | | | | 
| | <wCSightView: 0x2454dc0; baseClass = UIControl; frame 
= (0 3; 200 150); gestureRecognizers = <NSArray: 0x87e5110>; 
layer = <CALayer: Oxd3be460>> 

| | | | | | | | | | | | 
| | | <UIImageView: 0xd34e8d0; frame = (0 0; 200 150); 
opaque - NO; userInteractionEnabled - NO; layer - «CALayer: 
0xd34e950»» 

| | | | | | | | | | | | 
| | | «SightPlayerView: 0©0x7e50ff0; frame = (0 0; 200 
150); layer = «CALayer: 0xd302770>> 

| | | | | | | | | | | | 
| | | «UIView: 0xd37d9e0; frame = (0 0; 200 150); layer 
= «CALayer: 0xd37da50>> 

| | | | | | | | | | | | 
| | | | <UIView: Oxd30d5f0; frame = (0 0; 200 150); 
tag = 10050; layer = <CALayer: 0x87e5650>> 

| | | | | | | | | | | | 
| | | | <SightIconView: Oxd3be2e0; frame = (0 0; 200 
150); layer = «CALayer: Oxd3be380>> 

| | | | | | | | | | | | 
| | | | «MMUILabel: 0x7ee7530; baseClass = UILabel; 
frame - (0 103; 200 20); text - 'Tap to play'; hidden - YES; 
userInteractionEnabled - NO; tag - 10040; layer - 
<_UILabelLayer: 0x7e50dd0>> 
cy# [#0xd3be3e0 nextResponder | 
#"<wCTimeLineCellView: 0x872c530; frame = (0 0; 313 243); tag 


= 1048577; layer = «CALayer: 0x872ce80>>" 

Cy# [#0x872c530 nextResponder | 
#"<UITableViewCellContentView: 0x8729d80; frame = (0 0; 320 
251); gestureRecognizers = <NSArray: 0x8729f80»; layer = 
<CALayer: 0x8729df0>>" 

cy# [#0x8729d80 nextResponder] 
#"<MMTableViewCell: 0x8729be0; baseClass 
frame = (0 1164.33; 320 251); autoresize 
«CALayer: 0x8729b50>>" 

cy# [#0x8729be0 nextResponder] 
Z"«UITableViewwrapperView: Oxab09890; frame = (0 0; 320 568); 
gestureRecognizers = <NSArray: Oxab09b00»; layer = «CALayer: 
Ox7e6e4bO0>; contentOffset: (0, 0); contentSize: (320, 568}>" 
cy# [#0xab09890 nextResponder] 

#"<MMTableView: 0x30c3200; baseClass = UITableView; frame = 
(0 0; 320 568); gestureRecognizers = <NSArray: 0xab09600»; 
layer = «CALayer: Oxab09160>; contentOffset: (0, 1090}; 
contentSize: {320, 3186.3333}>" 

cy# [#0x30c3200 nextResponder | 

#"<UIView: 0x7e3b040; frame = (0 0; 320 568); autoresize = 
W-H; layer = <CALayer: 0x7e3afd0>>" 

cy# [#0x7e3b040 nextResponder | 

#"<wCTimeLineViewController: 0x28bd200»" 


UITableViewCell; 
W; layer - 


我 们 拿 到 了 C， 即 
WCTimeLineViewController， 同 时 也 能 猜 到 ， 朋 友 


问 的 内 部 代号 是 “Time Line” ° 


9.2.7 从 WCTimeLineViewController 找 到 小 视频 对 
象 


3i 55 WCTimeLineViewControllerf] A X (E, 1 
会 发 现 其 中 的 property 很 少 ， 也 没有 很 明显 地 访问 
M 的 方法 ， 比 较 可 疑 的 地 方 是 其 中 的 2 个 全 局 变 
E, WF: 


WCDataltem * inputDatalItem; 
WCDataltem * cacheDateItem; 


BETEK Enl, AP: 


cy# #0x28bd200->_cacheDateItem 
null 
cy# #0x28bd200->_inputDataItem 
null 


22 AAA SUC I, MEE URES 
UR AN ge | FRY HAC Pal LA Table View FZ SURE AN 
HJ, i? WCTimeLineViewController# f£TE—"1 4 7j 
tableView:cellForRowAtIndexPath:H]77 2E, MIR E 
实现 了 UITable-ViewDataSource 协 议 ， 因 此 一 定 和 


MATZABWKA o BNLAIDAE —$856rz5, Ul 
图 9-19 所 示 。 


图 9-19 


IWCTimeLineViewControllertableView:cellForRowA 


tIndexPath: | 


Ny 


KAXKAR, IIR ACHLÉT9-197 8 — NRE 
方块 是 整个 函数 的 核心 ， 其 他 的 部 分 只 是 在 给 这 
Acel RR O EA AEFIA e ME 
近 距 离 看 看 这 三 个 深 色 方块 ， 如 图 9-20 所 示 。 


图 9-20 ”三 个 深 色 方 块 


图 比较 小 ， 从 左 至 右 的 三 个 国 数 分 别 是 
genUploadFailCell:indexPath ^ 
genNormalCell:indexPath: 41] 
genRedHeartCell:indexPath:。 人 小 视频 是 哪 种 cell 
WE? 我 想 你 应 该 也 会 猜 它 是 "NormalCellj”， 下 面 看 


看 genNormalCell:indexPath: 的 实现 ， 如 图 9-21 所 


9-21 [WCTimeLineViewController 


genNormalCell:indexPath: | 


EAE IFRS AR, MESUPDU. [TU 
BEACH — TAY BEAVER BN, AIÉI9-22BT7n ° 


9-22) getTimelineDataltemOfIndex:4 A n] 
REDE 3 Bii cell 2A AUR ° Balla RA 
HJ* text:002A091C BLX.W j objc msgSend" E 
下 一 个 断 点 ， 然 后 想 办 法 触发 它 一 一 当 
UITableView 需 要 显示 新 的 cell 时 , 
tableView:cellForRowAtIndexPath: 会 得 到 调用 。 
上 此， 为 了 让 断 点 俘 在 市 有 小 视频 播放 窗口 的 cell 
上 ， 要 先 把 小 视频 请 出 当前 界面 ， 然 后 再 滑 进 
来 。 因 为 在 把 小 视频 请 出 去 的 时 候 ， 新 的 cell 会 触 
AR, (EGR RAMA A OK, Ar bik Bot “dis 


aS 


氮 号 ”， 待 小 视频 窗口 完全 消 出 当前 腹面 后 ， 
再 “en 断 上 号 ”， 然 后 把 小 视频 消 回来 ， 这 时 断后 豆 
会 集 在 小 视频 cell E, AU: 


C 


R2, RO 

RO, $(selRef calcDataItemIndex 0x2A0882) 
RO, PC ; selRef -calcDataltemIndex _ 

Rl, [20] ; "calcDataItemIndex: 


, 


wc c msgSend 
R5, RO 


, 

#(selRef defaultCenter ~ Ox2AO08CE) 
#(classRef_MMServiceCenter ~ 0x2A08D0) 
PC ; selRef defaultCenter 
PC ; classRef MMServiceCenter 
[RO] ; "defaultCenter" 
[R2] ; .OBJC CLASS $ MMServiceCenter 
(SP, #O0xC8+var_ A4] 

__objc_msgSend 
RO 


, 
#(selRef class ~ Ox2A08E6) 
PC ; selRef class 
(RO] ; "class" 
[SP,fOxC8*var A8] 
$(classRef WCFacade - Ox2AO08F4) 
PC ; classRef WCFacade 
CLASS $ WCFacade 


$(selRef getService - 0x2A0906) 
PC ; selRef getService 

(RO] ; "getService:" 

R6 


: [SP,f$0xC8*var AC] 
j. objc msgSend 
Rl, $(:lowerl6:(selRef getTimelineDataItemOfIndex - 0x2A091C)) 
R5 


Rl, f&(:upperl6:(selRef getTimelineDataItemOfIndex - 0x2A091C)) 
R1, PC ; selRef getTimelineDataItemOfIndex 
Rl, [R1] ; "getTimelineDataItemOfIndex:" 

objc gSend 


9-22 [WCTimeLineViewController 


genNormalCell:indexPath: | 


(lldb) br s -a 0x2A091C 

Breakpoint 6: where - 
MicroMessenger?' | lldb unnamed functioni11980$$MicroMessenger 
+ 208, address = 0x002a091c 


Process 184500 stopped 
* thread #1: tid = Ox2d0b4, 0x002a091c 
MicroMessenger' | lldb unnamed functioni11980$$MicroMessenger 
* 208, queue - 'com.apple.main-thread, stop reason - 
breakpoint 6.1 

frame #0: 0x002a091c 


MicroMessenger' lldb unnamed functioni11980$$MicroMessenger 
+ 208 

MicroMessenger' lldb unnamed functioni11980$$MicroMessenger 
+ 208: 

-> 0x2a091c: blx 0Oxe08e0c ; 


_ lldb unnamed function70162$$MicroMessenger 

0x2a0920: mov rii, ro 

0x2a0922: movw rO, #32442 

0x2a0926: movt ro, #436 
(lldb) ni 
Process 184500 stopped 
* thread #1: tid = Ox2dOb4, 0x002a0920 
MicroMessenger' | lldb unnamed functioni11980$$MicroMessenger 
* 212, queue - 'com.apple.main-thread, stop reason - 
instruction step over 

frame #0: 0x002a0920 


MicroMessenger' lldb unnamed functioni11980$$MicroMessenger 
* 212 
MicroMessenger' lldb unnamed functioni11980$$MicroMessenger 
+ 212: 


-> 0x2a0920: mov rii, rO 
0x2a0922: movw rO, #32442 
0x2a0926: movt ro, #436 
0x2a092a: add rO, pc 
(lldb) po $rO 
Class name: WCDataItem, addr: 0x80f52b0 
tid: 11896185303680028954 
username: wxid hqouu9kgsgw3e6 
createtime: 1418135798 
commentUsers: ( 


) 
contentObj: <wCContentItem: 0x8724c20> 


我 们 拿 天 了 一 个 WCDataltem 对 象 ， 它 的 内 部 
还 有 一 个 WCContentItem 对 象 。 那 这 个 
WCDataltem 对 和 象 到 发 是 不 古 小 视频 的 数据 呢 ? 用 
LLDB 来 测 弃 一 下 ， 把 这 个 返回 值 给 置 NULL， 看 
看 是 什么 效 有 末 。 重 复 刚 才 的 操作 ， 在 小 视频 滑 回 
RAT AAC, OOP: 


Process 184500 stopped 
* thread #1: tid = Ox2dOb4, 0x002a091c 
MicroMessenger' lldb unnamed functioni11980$$MicroMessenger 
* 208, queue - 'com.apple.main-thread, stop reason - 
breakpoint 6.1 

frame #0: 0x002a091c 


MicroMessenger' lldb unnamed functioni11980$$ MicroMessenger 
+ 208 

MicroMessenger' lldb unnamed functioni11980$$MicroMessenger 
+ 208: 

-> 0x2a091c: blx 0xe08e0c E 


_  lldb unnamed function70162$$MicroMessenger 

0x2a0920: mov rii, rO 

0x2a0922: movw ro, #32442 

0x2a0926: movt ro, #436 
(lldb) ni 
Process 184500 stopped 
* thread #1: tid = Ox2dOb4, 0x002a0920 
MicroMessenger' lldb unnamed functioni11980$$MicroMessenger 
* 212, queue - 'com.apple.main-thread, stop reason - 
instruction step over 

frame #0: 0x002a0920 

MicroMessenger' | lldb unnamed functioni11980$$ MicroMessenger 
* 212 
MicroMessenger' . lldb unnamed functioni11980$$MicroMessenger 


* 212: 
-> 0x2a0920: mov rii, ro 
0x2a0922: movw ro, #32442 
0x2a0926: movt ro, #436 
0x2a092a: add rO, pc 
(lldb) register write ro 0 
(lldb) br del 
About to delete all breakpoints, do you want to do that?: 
[Y/n] y 
All breakpoints removed. (1 breakpoint) 
(lldb) c 


此 时 ， 第 一 条 小 视频 完全 消失 了 ， 歼 末 如 图 9- 
23 所 示 。 说 明 它 的 数据 产 束 是 WCDataItem“。 在 分 
析 WCDataltem 之 曾 ， 我 们 面临 的 问题 征 ， 如 何 从 
WEE (hook) 的 函数 
[WCContentItemView Template-NewSight 


onLongTouch] 中 拿 到 它 的 WCDatalItem 对 象 ? 


11:13 


«Discover Moments 


16414 day(s) ago 


iOSRE 
Guess what this is? SpongeBob 


baby powder 


11 hours ago 


图 9-23 ”把 返回 值 置 NULEL 的 效果 


9.2.8 JÁWCContentItemViewTemplateNew-Sight"P 
提取 WCDataltem 对 和 象 


还 记得 在 刚才 的 分 析 中 是 怎么 拿 到 
WCDataltem 对 和 象 的 吗 ? 答案 是 通 — 
DataltemOfIndex: 2X ° [E18] E]9-22rp ,. FAX 

函数 的 调用 者 和 参数 都 是 什么 。 


可 以 看 到 ， 它 的 调用 着 是 getService: 的 返回 
值 ， 参 数 是 calcDataItemIndex: 的 返回 值 ， 如 图 9-24 
所 示 。 


getService: 和 calcDataItemIndex: 又 要 怎么 调用 
We? 下 面 逐 个 来 分 析 ， 先 看 getService:。 它 的 调用 
者 来 自 “MOV R0,R6”， 即 R6; R6 来 自 
[MMServiceCenter defaultCenter] 的 返回 值 。 它 的 参 
数 来 目 [WCFacade class] 的 返回 值 ， 如 图 9-25 所 


小 


, #(selRef calcDataltemIndex - 0x2A08B2) 
PC ; selRef calcDatalItemIndex 
[RO] ; "calcDataItemIndex:" 
R4 


, 
#(selRef_defaultCenter ~ Ox2AOB8CE) 
#(classRef_MMServiceCenter -~ 0x2A08D0) 
PC ; selRef defaultCenter 
PC ; classRef_MMServiceCenter 
"defaultCenter" 


$(selRef class - Ox2A08E6) 
PC ; solRof class 
[RO] ; "class" 
[SP, #0xC8+var AB] 
#(classRef WCFacade -~ Ox2A08F4) 
PC ; classRef WCFacade 
.OBJC CLASS $ WCFacade 


: $(selRef getService - 0x2A0906) 
PC ; selRef getService 
[RO] ; "getService:" 
R6 


[SP,$0xCB*var AC] 
j. objc msgSend 
s #(:lowerl6: (selRef_getTimelineDataItemOfIndex_ ~- 0x2A091C)) 


j #(:upperl6: (selRef_getTimelineDatalItemOfIndex_ - 0x2A091C)) 
PC ; selRef_getTimelineDataltemOfIndex_ 
; "getTimelineDataItemOfIndex:" 
msgSend 


图 9-24 ff TgetTimelineDataltemOfIndex: (1) 


R 
#(selRef_ defaultCenter ~ Ox2AO08CE) 
#(classRef_MMServiceCenter - 0x2A08D0 
PC ; selRef_defaultCenter 
; classRef  MMServiceCenter 
"defaultCenter" 

; OBJC CLASS $ MMServiceCenter 

[SP, #0xC8+var A4] 


6, RO 
#(selRef_ class ~ Ox2AO08E6) 
PC ; selRef class 
[RO] ; "class" 
[SP,fOxC8*var A8] 
$(classRef WCFacade -~ Ox2AO08F4) 
PC ; classRef WCFacade 
[RO] ; _OBJC CLASS $ WCFacade 
s" P bie msgSend 
R2 


i (selRef  getService - 0x2A0906) 
PC ; selRef getService 

[RO] ; "getService:" 

R6 


(SP, #0xC8+var_AC] 
objc msgSend 


图 9-25 ”解析 getTimelineDataltemOfIndex: (2) 


此 getTimelineDataIltemOfImndex: 的 调用 者 可 
以 通过 [[MMServiceCenter defaultCenter]getService: 
[WCFacade class] ] X 3X $3 » BE AAT 
calcDataltemIndex:, EHV HAK H "MOV 
R0,R4”， 即 R4; 而 R4 就 是 self。 它 的 参数 来 自 


[indexPath section] 的 返回 值 ， 如 图 9-26 和 图 9-27 所 


var C8= 


< 
5 
n 
E 
"n 


«444 
RAR A | 
AAT 
NEME! 


< 
E 


iewController genNormalCell:indexPath: 
er genNormalCell indexPath 


{R4-R7,LR} 
R7, SP, #0xC 
{R8,R10,R11} 
R4, SP, #0x40 
R4, R4, #0xF 


SP, 
(D8-D11), [R48128]! 
(D12-D15), [R40128] 


ft TgetTimelineDataItemOfIndex: (3) 


{R4-R7,LR} 

R7, SP, #0xC 

{R8,R10,R11} 

R4, SP, #0x40 

R4, R4, #0xF 

SP, R4 

(D8-D11), [R4@128}! 

(D12-D15), [R48@128] 
SP, #0xBO 


R6, [SP,fOxC8*var AO} 
R10, R2 
R4, [SP,fOxC8*var 88] 
RO, $(selRef row - 0x2A087E) 
RO, PC ; selRef row 
R1, [RO] ; "row" 
RO, R6 
j . objc msgSend 
RO 


, 
RO, $(selRef section - 0x2A089 
PC ; selRef section 
: [RO] ; "section" 
RO, R6 
R1, R5 
j. objc msgSend 
RO, [SP,f$0xC8*var 94] 


j objc msgSend 
, RO 
#(selRef_calcDataItemIndex_ - 0x2A08B2) 
PC ; selRef calcDataltemIndex 
[RO] ; "calcDatalItemIndex:" 
4 


XEEEEDEEEDEE 


RO; 
j__objc_msgSend 


图 9-27 ft getTimelineDataltemOfIndex: (4) 


此 getTimelineDataItemOfIindex: 的 参数 可 以 
通过 [WCTimeLineViewController calcDataItem- 


Index:[indexPath section]] 获 取 “。 因 为 我 们 位 于 


[WCContentItemViewTemplateNewSight 
onLongTouch] 中 ， 所 以 可 以 通过 [self 
nextResponder]fK 1X # #!| MM TableViewCell ` 
MMTableView 和 WCTimeLineViewController， 骨 通 
31 [MMTableView indexPathForCell: 
MMTableViewCell] #llindexPath, 3X T 33 FETE 
9.2.67 LAE SUSE ^ BRAR ERA EN, 
但 至 少 通过 符合 MVC 标 准 的 方式 从 
WCContentItemViewTemplateNewSight 中 成 功 捉 取 
了 WCDataItem 对 象 。 仁 得 一 提 的 是 ， 
WCTimeLineViewController 和 
WCContentItemView TemplateNewSighth) gij ZG 7E 
WC， 笔 者 猜 它 是 “weChat” 的 缩写 ， 而 
MMTableViewCellfI MMTableViewR Hii Z& x MM , 


故而 猜 它 是 “MicroMessenger 的 缩写 一 一 这 种 命名 


EAA, ARBRE DA LJ AS IR ERAS I8] 77 LL rfü 
Ia AGA e Be ROK, SmdIWCDataltem, FE) 4 
PERI ZU ER EAL FEHEM FERNE © 


9.2.9 从 WCDataItem 中 提取 目标 信息 


1]7FWCDataltem.h, XSXDv5— P, WP: 


Qinterface WCDataltem : NSObject <NSCoding> 


int cid; 

NSString *tid; 

int type; 

int flag; 

NSString *username; 

NSString *nickname; 

int createtime; 

NSString *sourceUrl; 

NSString *sourceUrl2; 
WCLocationInfo *locationInfo; 
BOOL isPrivate; 
NSMutableArray *sharedGroupIDs; 
NSMutableArray *blackUsers; 
NSMutableArray *visibleUsers; 
unsigned long extFlag; 

BOOL likeFlag; 

int likeCount; 

NSMutableArray *likeUsers; 
int commentCount; 
NSMutableArray *commentUsers; 
int withCount; 

NSMutableArray *withUsers; 


WCContentItem *contentObj; 

WCAppInfo *appInfo; 

NSString *publicUserName; 

NSString *sourceUserName; 

NSString *sourceNickName; 

NSString *contentDesc; 

NSString *contentDescPattern; 

int contentDescShowType; 

int contentDescScene; 

WCActionInfo *actionInfo; 

unsigned int hash; 

SnsObject *snsObject; 

BOOL isBidirectionalFan; 

BOOL noChange; 

BOOL isRichText; 

NSMutableDictionary *extData; 

int uploadErrType; 

NSString *statisticsData; 
} 
+ (id)fromBuffer: (id)arg1; 
+ (id)fromServerObject:(id)arg1; 
+ (id)fromUploadTask:(id)arg1; 
Qproperty(retain, nonatomic) WCActionInfo *actionInfo; // 
Qsynthesize actionInfo; 
Qproperty(retain, nonatomic) WCAppInfo *appInfo; // 
Qsynthesize appInfo; 
Qproperty(retain, nonatomic) NSArray *blackUsers; // 
@synthesize blackUsers; 
@property(nonatomic) int cid; // @synthesize cid; 
@property(nonatomic) int commentCount; // @synthesize 
commentCount ; 
Qproperty(retain, nonatomic) NSMutableArray *commentUsers; 
@synthesize commentUsers; 
- (int)compareDesc:(id)arg1; 
- (int)compareTime:(id)arg1; 
Qproperty(retain, nonatomic) NSString *contentDesc; // 
@synthesize contentDesc; 
Qproperty(retain, nonatomic) NSString *contentDescPattern; 
Qsynthesize contentDescPattern; 
@property(nonatomic) int contentDescScene; // @synthesize 
contentDescScene; 


// 


// 


@property(nonatomic) int contentDescShowType; // Qsynthesize 


contentDescShowType; 

Qproperty(retain, nonatomic) WCContentItem *contentObj; // 
Qsynthesize contentObj; 

Qproperty(nonatomic) int createtime; // Qsynthesize 


createtime; 

- (void)dealloc; 

- (id)description; 

- (id)descriptionForKeyPaths; 

- (void)encodeWithCoder:(id)argi; 

Qproperty(retain, nonatomic) NSMutableDictionary *extData; // 
@synthesize extData; 

@property(nonatomic) unsigned long extFlag; // @synthesize 
extFlag; 

@property(nonatomic) int flag; // @synthesize flag; 

- (id)getDisplayCity; 

- (id)getMediawraps; 

- (BOOL)hasSharedGroup; 

- (unsigned int)hash; 

- (id)init; 

- (id)initWwithCoder:(id)argi; 

Qproperty(nonatomic) BOOL isBidirectionalFan; // Qsynthesize 
isBidirectionalFan; 

- (BOOL)isEqual:(id)arg1; 

@property(nonatomic) BOOL isPrivate; // @synthesize 
isPrivate; 

- (BOOL)isRead; 

@property(nonatomic) BOOL isRichText; // @synthesize 
isRichText; 

- (BOOL)isUploadFailed; 

- (BOOL)isUploading; 

- (BOOL)isValid; 

- (id)itemID; 

- (int)itemType; 

- (id)keyPaths; 

Qproperty(nonatomic) int likeCount; // Qsynthesize likeCount; 
@property(nonatomic) BOOL likeFlag; // Qsynthesize likeFlag; 
Qproperty(retain, nonatomic) NSMutableArray *likeUsers; // 
Qsynthesize likeUsers; 

- (void)loadPattern; 

Qproperty(retain, nonatomic) WCLocationInfo *locationInfo; // 
Qsynthesize locationInfo; 

- (void)mergeLikeUsers:(id)arg1; 

- (void)mergeMessage:(id)arg1; 

- (void)mergeMessage:(id)argi needParseContent:(BOOL)arg2; 
@property(retain, nonatomic) NSString *nickname; // 
@synthesize nickname; 

@property(nonatomic) BOOL noChange; // @synthesize noChange; 
- (void)parseContentForNetWithDataItem: (id)arg1; 

- (void)parseContentForUI; 

- (void)parsePattern; 


Qproperty(retain, nonatomic) NSString *publicUserName; // 
Qsynthesize publicUserName; 

- (id)sequence; 

- (void)setCreateTime:(unsigned long)argi; 

- (void)setHash:(unsigned int)argi; 

- (void)setIsUploadFailed:(BOOL)arg1; 

- (void)setSequence:(id)argi; 

Qproperty(retain, nonatomic) NSMutableArray *sharedGroupIDs; 
// Qsynthesize sharedGroupIDs; 

Qproperty(retain, nonatomic) SnsObject *snsObject; // 
Qsynthesize snsObject; 

Qproperty(retain, nonatomic) NSString *sourceNickName; // 
Qsynthesize sourceNickName; 

Qproperty(retain, nonatomic) NSString *sourceUrl2; // 
Qsynthesize sourceUrl2; 

Qproperty(retain, nonatomic) NSString *sourceUrl; // 
Qsynthesize sourceUrl; 

Qproperty(retain, nonatomic) NSString *sourceUserName; // 
Qsynthesize sourceUserName; 

Qproperty(retain, nonatomic) NSString *statisticsData; // 
Qsynthesize statisticsData; 

Qproperty(retain, nonatomic) NSString *tid; // Qsynthesize 
tid; 

@property(nonatomic) int type; // Qsynthesize type; 
@property(nonatomic) int uploadErrType; // Qsynthesize 
uploadErrType; 

Qproperty(retain, nonatomic) NSString *username; // 
Qsynthesize username; 

Qproperty(retain, nonatomic) NSArray *visibleUsers; // 
Qsynthesize visibleUsers; 

Qproperty(nonatomic) int withCount; // Qsynthesize withCount; 
Qproperty(retain, nonatomic) NSMutableArray *withUsers; // 
@synthesize withUsers; 

- (id)toBuffer; 

Qend 


可 以 看 到 ， 文 件 中 一 共有 4 处 出 现 
T “pah Fi ur RRE, W F: 


- (id)descriptionForKeyPaths; 

- (id)keyPaths; 

Qproperty(retain, nonatomic) NSString *sourceUr12; 
Qproperty(retain, nonatomic) NSString *sourceUrl; 


下 面 用 LLDB 来 看 看 它们 部 会 返回 什么 。 重 复 
刚才 的 操作 ， 在 小 视频 独 回 来 时 和 触发 晰 点 ， 如 
PB 


Process 184500 stopped 
* thread #1: tid = Ox2dOb4, 0x002a091c 
MicroMessenger?' | lldb unnamed functioni11980$$MicroMessenger 
* 208, queue - 'com.apple.main-thread, stop reason - 
breakpoint 7.1 

frame #0: 0x002a091c 


MicroMessenger' lldb unnamed functioni11980$$Micro Messenger 
T 

208MicroMessenger" lldb unnamed functioni11980$$MicroMesseng 
er + 208: 


-> 0x2a091c: blx 0xe08e0c F 
_ lldb_unnamed_function70162$$MicroMessenger 

0x2a0920: mov rii, ro 

0x2a0922: movw ro, #32442 

0x2a0926: movt ro, #436 
(lldb) ni 
Process 184500 stopped 
* thread #1: tid = Ox2dOb4, 0x002a0920 
MicroMessenger' lldb unnamed functioni11980$$MicroMessenger 
* 212, queue - 'com.apple.main-thread, stop reason - 
instruction step over 

frame #0: 0x002a0920 


MicroMessenger' lldb unnamed functioni11980$$Micro Messenger 
+ 212 
MicroMessenger' lldb unnamed functioni11980$$MicroMessenger 
+ 212: 


-> 0x2a0920: mov rii, rO 
0x2a0922: movw ro, #32442 


0x2a0926: movt ro, #436 

0x2a092a: add rO, pc 
(lldb) po [$r0 descriptionForKeyPaths] 
Class name: WCDataltem, addr: 0x80f52b0 
tid: 11896185303680028954 
username: wxid hqouu9kgsgw3e6 
createtime: 1418135798 
commentUsers: ( 


) 

contentObj: <wCContentItem: 0x8724c20> 
(lldb) po [$r0 keyPaths] 

<__NSArrayI 0x87b5260>( 

tid, 

username, 

createtime, 

commentUsers, 

contentObj 


) 

(lldb) po [$r0O sourceUr12] 
nil 

(lldb) po [$rO sourceUrl] 
nil 


XJ LP ER ZB [REA P 38 LE ABR Bt cB) 
信息 ， 但 多 次 出 现 的 WCContentItem 却 引起 了 笔者 
的 和 注意。 显然, “content” “data” hE X E AA HR, 
^] LAT RRA EA RI ei ze Ee GE, PER 
看 看 WCContentItem.h， 如 下 : 


Qinterface WCContentItem : NSObject <NSCoding> 


NSString *title; 
NSString *desc; 


NSString *titlePattern; 

NSString *descPattern; 

NSString *linkUrl; 

NSString *linkUrl2; 

int type; 

int flag; 

NSString *username; 

NSString *nickname; 

int createtime; 

NSMutableArray *mediaList; 
} 
Qproperty(nonatomic) int createtime; // Qsynthesize 
createtime; 
- (void)dealloc; 
Qproperty(retain, nonatomic) NSString *desc; // @synthesize 
desc; 
Qproperty(retain, nonatomic) NSString *descPattern; // 
Qsynthesize descPattern; 
- (void)encodeWithCoder:(id)argi; 
@property(nonatomic) int flag; // @synthesize flag; 
- (id)init; 
- (id)initWwithCoder:(id)argi; 
- (BOOL)isValid; 
Qproperty(retain, nonatomic) NSString *linkUrl; // 
@synthesize linkUrl; 
@property(retain, nonatomic) NSString *linkUrl2; // 
@synthesize linkUr12; 
@property(retain, nonatomic) NSMutableArray *mediaList; // 
@synthesize mediaList; 
@property(retain, nonatomic) NSString *nickname; // 
@synthesize nickname; 
@property(retain, nonatomic) NSString *title; // @synthesize 
title; 
@property(retain, nonatomic) NSString *titlePattern; // 
@synthesize titlePattern; 
@property(nonatomic) int type; // @synthesize type; 
@property(retain, nonatomic) NSString *username; // 
@synthesize username; 
@end 


可 以 看 到 ， 文 件 中 一 共有 2 处 出 现 了 “ur 关键 
词 ， 如 下 : 


Qproperty(retain, nonatomic) NSString *linkUrl; 
Qproperty(retain, nonatomic) NSString *linkUrl2; 


通过 [WCDataltem contentObj] 函 数 可 以 获取 其 
对 应 的 WCContentItem 对 象 ， 我 们 用 LLDB 看 看 上 
面 2 个 property 的 值 。 重 复 刚 才 的 操作 ， 在 小 视频 
TAEDA AR ACS, HI: 


Process 184500 stopped 
* thread #1: tid = Ox2dOb4, 0x002a091c 
MicroMessenger' | lldb unnamed functioni11980$$MicroMessenger 
* 208, queue - 'com.apple.main-thread, stop reason - 
breakpoint 7.1 

frame #0: 0x002a091c 


MicroMessenger' lldb unnamed functioni1980$$Micro Messenger 
+ 208 
MicroMessenger' lldb unnamed functioni11980$$MicroMessenger 
+ 208: 


-> 0x2a091c: blx 0xe08e0c 

_  lldb unnamed function70162$$MicroMessenger 
0x2a0920: mov rii, rO 
0x2a0922: movw rO, #32442 
0x2a0926: movt ro, #436 

(1ldb) ni 

Process 184500 stopped 

* thread #1: tid = Ox2dOb4, 0x002a0920 


MicroMessenger' lldb unnamed functioni11980$$MicroMessenger 
* 212, queue - 'com.apple.main-thread, stop reason - 
instruction step over 

frame #0: 0x002a0920 


MicroMessenger' lldb unnamed functioni11980$$Micro Messenger 
* 212 
MicroMessenger' lldb unnamed functioni11980$$MicroMessenger 
+ 212: 


-> 0x2a0920: mov rii, rO 
0x2a0922: movw ro, #32442 
0x2a0926: movt ro, #436 
0x2a092a: add rO, pc 

(lldb) po [$r0 descriptionForKeyPaths] 

Class name: WCDataItem, addr: 0x80f52b0 

tid: 11896185303680028954 

username: wxid hqouu9kgsgw3e6 

createtime: 1418135798 

commentUsers: ( 

) 

contentObj: <wCContentItem: 0x8724c20> 

(lldb) po [$r0 keyPaths] 

<__NSArrayI 0x87b5260>( 

tid, 

username, 

createtime, 

commentUsers, 

contentObj 


) 

(lldb) po [$r0 sourceUr12] 
nil 

(lldb) po [$r0 sourceUrl] 
nil 


接 下 来 在 浏览 器 里 输入 这 个 ul， 看 看 对 应 的 
古 个 什么 东西 ， 如 图 9-28 所 示 。 


eeeco 中 国联 通 3G 11:46 © 10096 ED + 


IBI support woban od. cor IE 


图 9-28  [[$rO contentObj ]linkUrl] 


PRACT AREA ZG RAS AAT Se o 
WCContentItem.h 里 的 内 容 本 来 就 不 多 ， 小 视频 会 
着 在 哪里 呢 ? 回 看 这 个 文件 ， 一 个 名 为 mediaL ist 


的 property 引 起 了 笔者 的 注意 。 相 对 

于 “content”、“media” 的 定位 更 精确 了 ， 小 视频 会 
不 会 藏 在 它 里 面 呢 ?还 古 用 LLDB 测 一 测 。 重 复 刚 
才 的 操作 ， 在 小 视频 清 回 来 时 触发 断 点 ， 如 下 : 


Process 184500 stopped 
* thread #1: tid = Ox2dOb4, 0x002a091c 
MicroMessenger' ldb unnamed functioni1980$$MicroMessenger + 
208, queue ='com.apple.main-thread, stop reason = breakpoint 
8.1 

frame #0: 0x002a091c 


MicroMessenger' lldb unnamed functioni1980$$Micro Messenger 
+ 208 

MicroMessenger' lldb unnamed functioni11980$$MicroMessenger 
+ 208: 

-> @x2a091c: blx 0xe08e0c ; 


_ lldb unnamed function70162$$MicroMessenger 

0x2a0920: mov rii, ro 

0x2a0922: movw ro, #32442 

0x2a0926:  movt ro, #436 
(lldb) ni 
Process 184500 stopped 
* thread #1: tid = Ox2dOb4, 0x002a0920 
MicroMessenger' lldb unnamed functioni11980$$MicroMessenger 
* 212, queue - 'com.apple.main-thread, stop reason - 
instruction step over 

frame #0: 0x002a0920 


MicroMessenger' lldb unnamed functioni11980$$MicroMessenger 
* 212 
MicroMessenger' lldb unnamed functioni11980$$MicroMessenger 
+ 212: 


-> 0x2a0920: mov rii, ro 
0x2a0922: movw ro, #32442 
0x2a0926: movt rO, #436 
0x2a092a: add rO, pc 
(lldb) po [[[[$rO contentObj] mediaList] objectAtIndex:0] 


pathForData] 
/var/mobile/Containers/Data/Application/E9BE84D8-9982-4814- 
9289- 
823D5FD91144/Library/WechatPrivate/c5f5eb23e53bb2ee021b0e89b5 
c4bc9a/wc/media/5/60/2a16b0b62baf 39924448a74Fa03fF2 

(lldb) po [[[[$rO contentObj] mediaList] objectAtIndex:0] 
pathForPreview] 
/var/mobile/Containers/Data/Application/E9BE84D8 -9982-4814- 
9289- 
823D5FD91144/Library/wechatPrivate/c5f5eb23e53bb2ee021b0e89b5 
cAbc9a/wc/media/5/7f/cdc7939813d1a 95feda4bed05f9b82 

(lldb) po [[[[$rO contentObj] mediaList] objectAtIndex:0] 
pathForSightData] 
/var/mobile/Containers/Data/Application/E9BE84D8-9982-4814- 
9289- 
823D5FD91144/Library/wechatPrivate/c5f5eb23e53bb2ee021b0e89b5 
c4bc9a/wc/media/5/60/2a16b0b62baf39924448a74Fa03fFf2.mp4 
(lldb) po [[[[$rO contentObj] mediaList] objectAtIndex:0] 
dataUr1] 

type[1], 

url[http://vcloud1023.tc.qq.com/1023 0114929ce86949a8bfb6f7b4 
6b6b39b8 .f0.mp4] 

(lldb) po [[[[$rO contentObj] mediaList] objectAtIndex:0] 
lowBandUrl] 

nil 

(lldb) po [[[[$rO contentObj] mediaList] objectAtIndex:0] 
previewUrls] 

<  NSArrayM 0x8725950>( 

type[1], 
url[http://mmsns.qpic.cn/mmsns/WiaWbRORjpHsUXCNLSdNsVLDibRZ9o 
uf PnXeJqZd1G4xhND43M87sh7DRcxttVPxA0/0 | 


) 


此 时 ， 一 个 新 的 类 WCMediaItem 出 瑰 了 。 下 
面 看 看 它 的 头 文 件 WCMediaItem.h， 如 下 : 


Qinterface WCMediaItem : NSObject «NSCoding» 


NSString *mid; 


int type; 

int subType; 

NSString *title; 

NSString *desc; 

NSString *titlePattern; 
NSString *descPattern; 
NSString *userData; 

NSString *source; 
NSMutableArray *previewUrls; 
WCUrl *dataUrl; 

WCUrl *lowBandUrl; 

struct CGSize imgSize; 

BOOL likeFlag; 

int likeCount; 
NSMutableArray *likeUsers; 
int commentCount; 
NSMutableArray *commentUsers; 
int withCount; 
NSMutableArray *withUsers; 
int createTime; 


- (id).cxx construct; 

- (id)cityForData; 

Qproperty(nonatomic) int commentCount; // Qsynthesize 
comentCount ; 

Qproperty(retain, nonatomic) NSMutableArray *commentUsers; // 
@synthesize commentUsers; 

- (id)comparativePathForPreview; 

Qproperty(nonatomic) int createTime; // Qsynthesize 
createTime; 

Qproperty(retain, nonatomic) WCUrl *dataUrl; // Qsynthesize 
dataUrl1; 

- (void)dealloc; 

@property(retain, nonatomic) NSString *desc; // @synthesize 
desc; 

@property(retain, nonatomic) NSString *descPattern; // 
@synthesize descPattern; 

- (void)encodeWithCoder: (id)arg1; 

- (BOOL)hasData; 

- (BOOL)hasPreview; 

- (BOOL)hasSight; 

- (id)hashPathForString: (id)arg1; 

- (id)imageOfSize:(int)arg1; 

@property(nonatomic) struct CGSize imgSize; // @synthesize 
imgSize; 

- (id)init; 


- (id)initWithCoder:(id)arg1; 

- (BOOL)isValid; 

@property(nonatomic) int likeCount; // Qsynthesize likeCount; 
@property(nonatomic) BOOL likeFlag; // Qsynthesize likeFlag; 
Qproperty(retain, nonatomic) NSMutableArray *likeUsers; // 
Qsynthesize likeUsers; 

- (CDStruct c3b9c2ee)locationForData; 

Qproperty(retain, nonatomic) WCUrl *lowBandUrl; // 
Qsynthesize lowBandUrl; 

- (id)mediaID; 

- (int)mediaType; 

Qproperty(retain, nonatomic) NSString *mid; // Qsynthesize 
mid; 

- (id)pathForData; 

- (id)pathForPreview; 

- (id)pathForSightData; 

Qproperty(retain, nonatomic) NSMutableArray *previewUrls; // 
@synthesize previewUrls; 

- (BOOL)saveDataFromData:(id)arg1; 

- (BOOL)saveDataFromMedia:(id)argi; 

- (BOOL)saveDataFromPath: (id)arg1; 

- (BOOL)savePreviewFromData:(id)arg1; 

- (BOOL)savePreviewFromMedia:(id)argi; 

- (BOOL)savePreviewFromPath: (id)arg1; 

- (BOOL)saveSightDataFromData: (id)arg1; 

- (BOOL)saveSightDataFromMedia: (id)arg1; 

- (BOOL)saveSightDataFromPath: (id)arg1; 

- (BOOL)saveSightPreviewFromMedia:(id)arg1; 
Qproperty(retain, nonatomic) NSString *source; // @synthesize 
source; 

@property(nonatomic) int subType; // Qsynthesize subType; 
Qproperty(retain, nonatomic) NSString *title; // @synthesize 
title; 

Qproperty(retain, nonatomic) NSString *titlePattern; // 
Qsynthesize titlePattern; 

@property(nonatomic) int type; // Qsynthesize type; 
Qproperty(retain, nonatomic) NSString *userData; // 
@synthesize userData; 

@property(nonatomic) int withCount; // @synthesize withCount; 
@property(retain, nonatomic) NSMutableArray *withUsers; // 
@synthesize withUsers; 

- (id)videoStreamForData; 

- (id)voiceStreamForData; 

@end 


可 以 看 到 ， 在 头 文 件 中 出 现 了 8 次 “path” 天 键 
词 ， 如 下 : 


- (id)comparativePathForPreview; 

- (id)hashPathForString: (id)arg1; 

- (id)pathForData; 

- (id)pathForPreview; 

- (id)pathForSightData; 

- (BOOL)saveDataFromPath:(id)arg1; 

- (BOOL)savePreviewFromPath:(id)arg1; 

- (BOOL)saveSightDataFromPath: (id)arg1; 


还 有 3 次 “url”* 关 键 词 ， 如 下 : 


Qproperty(retain, nonatomic) WCUrl *dataUrl; 
Qproperty(retain, nonatomic) WCUrl *lowBandUrl; 
Qproperty(retain, nonatomic) NSMutableArray *previewUrls; 


其 中 ，pathForData ` pathForPreview7ll 
pathForSightData 极 有 可 能 返回 一 个 path; dataUrl ` 
lowBandUrl 和 previewUrls 极 有 可 能 返回 url， 马 上 
用 LLDB 看 看 这 些 返 回信 是 什么 。 重复 刚才 的 操 
作 ， 在 小 视频 请 回来 时 触发 断 点 ， 如 下 : 


Process 184500 stopped 
* thread #1: tid = Ox2dOb4, 0x002a091c 
MicroMessenger' | lldb unnamed functioni11980$$MicroMessenger 
* 208, queue - 'com.apple.main-thread, stop reason - 
breakpoint 8.1 

frame #0: 0x002a091c 


MicroMessenger' lldb unnamed functioni11980$$Micro Messenger 
+ 208 

MicroMessenger' lldb unnamed functioni11980$$MicroMessenger 
+ 208: 

-> 0x2a091c: blx 0xe08e0c ; 


_  lldb unnamed function70162$$MicroMessenger 
0x2a0920: mov rii, ro 
0x2a0922: movw ro, #32442 
0x2a0926:  movt ro, #436 
(1ldb) ni 
Process 184500 stopped 
* thread #1: tid = Ox2dOb4, 0x002a0920 
MicroMessenger' | lldb unnamed functioni11980$$MicroMessenger 
* 212, queue - 'com.apple.main-thread, stop reason - 
instruction step over 
frame #0: 0x002a0920 


MicroMessenger' lldb unnamed functioni11980$$MicroMessenger 
+ 212 
MicroMessenger' lldb unnamed functioni11980$$MicroMessenger 
+ 212: 


-> 0x2a0920: mov r11, ro 

0x2a0922: movw rO, #32442 

0x2a0926: movt ro, #436 

0x2a092a: add rO, pc 
(lldb) po [[[[$rO contentObj] mediaList] objectAtindex:0] 
pathForData] 
/var/mobile/Containers/Data/Application/E9BE84D8-9982-4814- 
9289- 
823D5FD91144/Library/WechatPrivate/c5f5eb23e53bb2ee021b0e89b5 
c4bc9a/wc/media/5/60/2a16b0b62baf 39924448a74Fa03fF2 
(lldb) po [[[[$rO contentObj] mediaList] objectAtIndex:0] 
pathForPreview | 
/var/mobile/Containers/Data/Application/E9BE84D8 - 9982 -4814- 
9289- 
823D5FD91144/Library/wechatPrivate/c5f5eb23e53bb2ee021b0e89b5 
cAbc9a/wc/media/5/7f/cdc7939813d1a 95feda4bed05f9b82 
(lldb) po [[[[$rO contentObj] mediaList] objectAtIndex:0] 
pathForSightData] 
/var/mobile/Containers/Data/Application/E9BE84D8-9982-4814- 


9289- 
823D5FD91144/Library/WechatPrivate/cb5f5eb23e53bb2ee021b0e89b5 
cAbc9a/wc/media/5/60/2a16b0b62baf39924448a74fa03ff2 ,mp4 

(lldb) po [[[[$rO contentObj] mediaList] objectAtIndex:0] 
dataUr1] 

type[1], 

url[http://vcloud1023.tc.qq.com/1023 0114929ce86949a8bfb6f7b4 
6b6b39b8 .f0.mp4] 

(lldb) po [[[[$rO contentObj] mediaList] objectAtIndex:0] 
lowBandUrl] 

nil 

(lldb) po [[[[$rO contentObj] mediaList] objectAtIndex:0] 
previewUrls] 

<  NSArrayM 0x8725950>( 

type[1], 
url[http://mmsns.qpic.cn/mmsns/WiaWbRORjpHsUXCNLSdNsVLDibRZ9o 
uf PnXeJqZd1G4xhND43M87sh7DRcxttVPxA0/0 | 

) 


WSFA RA Le, Eee 
找 的 小 视频 信息 了 。 不 管 你 是 直接 在 ssh 中 操作 ， 
还 是 用 iFunBox 浏 览 本 地 文件 ;不管 你 是 用 
MobileSafari， 还 是 用 Chrome 打 开 URL， 都 可 以 得 
出 以 下 结论 : 


:pathForData 运 回 小 视频 的 本 地 路 笃 ， 不 市 后 
绥 


pathForPreview 返 回 小 视频 的 预 砚 图片 路 径 ， 
IA BE 


-pathForSightDataik [2] NAAMA, 
In BR ; 

-dataUd 返 回 小 视频 的 网 络 URL; 

-lowBandUrl 返 回 nil， 笔 者 猜测 ， 当 网 络 状 况 
不 好 时 ， 它 的 值 不 为 nil; 为 了 节省 带宽 ， 这 个 
URL 对 应 的 mp4 文 件 很 可 能 比 dataUrl 对 应 的 文件 要 


人 小; 
-previewUrlsi [Bl] ALATA vi, ]URL 。 


tweak 原 型 搭建 到 此 结束 ， 下 面 完 整理 一 下 忆 
B, BARERA e 


9.3 HRA 


本 章 的 实例 综合 运用 了 Cycript、IDA 和 LLDB 
工具 ， 在 没有 产 格 推导 微 信 代码 逻辑 的 情况 下 完 
成 了 tweak 时 原型 搭建 工作 。 大 致 时 分 析 思 路 是 这 
样 的 。 


1. 在 小 视频 播放 窗口 添加 长 掖 手势 


为 微 信 本 号 已 经 在 小 视频 播放 窗口 添加 了 
长 按 手 势 ， 所 以 没有 必要 重新 发 明 轮子 ， 只 需要 
找到 长 按 手 势 的 啊 应 函数 ， 然 后 hook 它 就 可 以 
了 。 用 Reveal 很 容易 不可 定位 小 视频 播放 窗口 ， 

从 而 找到 长 按 手 势 的 啊 应 函数 。 值 得 一 提 有 的 是， 
找到 的 函数 在 长 按 后 会 被 连续 调用 2 次 ， 导 致 相同 
的 代码 重复 执行 ， 效 率 不 高 。 在 撰写 tweak 的 过 程 


HERE SEP OL, Hiep RARE ATE 
复 调用 催化 为 1 次 调用 。 


2. 在 C 里 寻找 小 视频 对 象 


虽然 MVC 设 计 标 准 里 约定 了 可 以 通过 C 访 问 
M， 但 是 在 本 例 中 ，C 里 并 没有 出 现 比 较 明 显 的 访 
问 M 的 方法 。 因 此 本 章 从 最 基本 的 
tableView:cellForRowAtIndexPath: 5253/8 ALA 
手 ， 在 IDA 里 找到 了 可 疑 的 cell 数 据 源 ， 并 通过 观 
察 头 文件 的 方式 定位 到 小 视频 对 象 ， 最 终 提取 出 
了 想 要 的 信息 。 或 许 不 那么 严 齐 ， 但 是 在 达到 目 
标的 基础 上 节省 了 时 间 ， 这 个 结果 也 还 不 错 | 


9.4 ”编写 tweak 


本 万 的 目标 是 把 长 按 小 视频 播放 窗口 的 末 早 
选项 给 替换 成 “Save to Disk” 和 “Copy URL”， 并 实 
现 相 应 动作 。 有 了 9.3 和 的 原型 作为 铺 拖 ， 这 一 节 
台 没 什么 太 多 可 解释 的 了 ， 咱 们 直接 动手 吧 。 


9.4.1 用 Theos 痢 建 tweak 工 
程 iOSREWCVideoDownloader>” 


WIrEEIOSREWCVideoDownloaders LR Jf 
如 下 : 


hangcom-mba:Documents sam$ /opt/theos/bin/nic.pl 
NIC 2.0 - New Instance Creator 

[1.] iphone/application 

[2.] iphone/cydget 

[3.] iphone/framework 

[4.] iphone/library 

[5.] iphone/notification center widget 


[6.] iphone/preference bundle 

[7.] iphone/sbsettingstoggle 

[8.] iphone/tool 

[9.] iphone/tweak 

[10.] iphone/xpc service 
Choose a Template (required): 9 
Project Name (required): iOSREWCVideoDownloader 
Package Name [com.yourcompany.iosrewcvideodownloader]: 
com.iosre.iosrewcvideodownloader 
Author/Maintainer Name [sam]: sam 
[iphone/tweak] MobileSubstrate Bundle filter 
[com.apple.springboard]: com.tencent.xin 
[iphone/tweak] List of applications to terminate upon 


installation (space-separated, '-' for none) [SpringBoard]: 

MicroMessenger 

Instantiating iphone/tweak in iosrewcvideodownloader/... 
Done. 


9.4.2 ”构造 IOSREWCVideoDownloader.h 


编辑 后 的 OSREWCVideoDownloader.h 内 容 如 
下 : 


Qinterface WCContentItem : NSObject 

Qproperty (retain, nonatomic) NSMutableArray *mediaList; 
Qend 

Qinterface WCDataItem : NSObject 

@property (retain, nonatomic) WCContentItem *contentObj; 
@end 

@interface WCUrl : NSObject 

@property (retain, nonatomic) NSString *url; 

Qend 

Qinterface WCMedialtem : NSObject 

@property (retain, nonatomic) WCUrl *dataUrl; 

- (id)pathForSightData; 


Qend 

Qinterface WCContentItemViewTemplateNewSight : UIView 
- (WCMediaItem *)iOSREMedialtemFromSight; 

- (void)iOSREOnSaveToDisk; 

- (void)iOSREOnCopyURL; 

Qend 

Qinterface MMServiceCenter : NSObject 

* (id)defaultCenter; 

- (id)getService:(Class)argi; 

Qend 

Qinterface WCFacade : NSObject 

- (WCDataltem *)getTimelineDataltemOfIndex:(int)argi; 
Qend 

Qinterface WCTimeLineViewController : NSObject 

- (int)calcDataItemIndex:(int)argi; 


Qend 

Qinterface MMTableViewCell : UITableViewCell 
Qend 

Qinterface MMTableView : UITableView 

Qend 


这 个 头 文件 的 所 有 内 容 均 摘 目 类 对 应 的 头 文 
件 ， 构 造 它 的 目的 仅仅 和 是 通过 编译 ， 避 免 出 现任 
Te] TREE ASTE E 。 


9.4.3 ”编辑 Tweak.xm 


编辑 后 的 Tweak.xm 内 容 如 下 : 


#import "iOSREWCVideoDownloader.h" 
static MMTableViewCell *iOSRECell; 
static MMTableView *iOSREView; 
static WCTimeLineViewController *iOSREController; 
%hook WCContentItemViewTemplateNewSight 
?6new 
- (WCMedialtem *)iOSREMedialtemFromSight 
{ 
id responder = self; 
while (! [responder 
isKindOfClass:NSClassFromString(Q"WCTimeLineViewController") 
]) 


{ 

if ([responder 
isKindOfClass:NSClassFromString(Q"MMTableViewCell")]) 
iOSRECell - responder; 

else if ([responder 
isKindOfClass:NSClassFromString(Q"MMTableView")]) iOSREView 
- responder; 

responder = [responder nextResponder ]; 


} 

10SREController = responder; 

if (!iOSRECell || !iOSREView || !iOSREController) 

{ 
NSLog(Q"iOSRE: Failed to get video object."); 
return nil; 

} 


NSIndexPath *indexPath = [iOSREView 
indexPathForCell:iOSRECell]; 

int itemIndex = [iOSREController calcDataItemIndex: 
[indexPath section] ]; 

WCFacade *facade = [(MMServiceCenter *) 
[%c(MMServiceCenter) defaultCenter] getService: [%c(WCFacade) 
class]]; 

wCDataItem *dataItem = [facade 
getTimelineDataltemOfIndex:itemIndex]; 

WCContentItem *contentItem = dataltem.contentObj; 

WCMedialtem *mediaItem = [contentItem.mediaList count] 
I= 0 ? (contentItem.mediaList)[0] : nil; 

return medialItem; 

} 
?6new 
- (void)iOSREOnSaveToDisk 


NSString *localPath = [[self iOSREMedialtemFromSight ] 


pathForSightData]; 
UISaveVideoAtPathToSavedPhotosAlbum(localPath, nil, 

nil, nil); 

} 

%new 

- (void)iOSREOnCopyURL 

i 


UIPasteboard *pasteboard - [UIPasteboard 
generalPasteboard]; 

pasteboard.string - [self 
iOSREMediaIltemFromSight].dataUrl.url; 

} 

static int iOSRECounter; 
- (void)onLongTouch 

{ 

10SRECounter++; 

if (iOSRECounter % 2 == 0) return; 

[self becomeFirstResponder ]; 

UIMenuItem *saveToDiskMenuItem = [[UIMenuItem alloc] 
initwithTitle:@"Save to Disk" 
action:Qselector(iOSREOnSaveToDisk)]; 

UIMenuItem *copyURLMenuItem = [[UIMenuItem alloc] 
initWithTitle:@"Copy URL" action:Qselector(iOSREOnCopyURL)]; 

UIMenuController *menuController - [UIMenuController 
sharedMenuController]; 

[menuController setMenuItems:Q[saveToDiskMenuItem, 
copyURLMenuItem]]; 

[menuController setTargetRect:CGRectZero inView:self]; 

[menuController setMenuVisible:YES animated:YES]; 

[saveToDiskMenuItem release]; 

[copyURLMenuItem release]; 


%end 


9.44 编辑 Makefile 及 control 


编辑 后 的 Makefile 内 容 如 下 : 


THEOS DEVICE IP - iOSIP 
TARGET - iphone:latest:8.0 
ARCHS = armv7 arm64 
include theos/makefiles/common.mk 
TWEAK NAME - iOSREWCVideoDownloader 
iOSREWCVideoDownloader FILES = Tweak.xm 
iOSREWCVideoDownloader FRAMEWORKS - UIKit 
include $(THEOS MAKE PATH)/tweak.mk 
after-install:: 

install.exec "killall -9 MicroMessenger" 


编辑 后 的 control 内 容 如 下 : 


Package: com.iosre.iosrewcvideodownloader 
Name: iOSREWCVideoDownloader 

Depends: mobilesubstrate, firmware (»- 8.0) 
Version: 1.0 

Architecture: iphoneos-arm 

Description: Play with Sight! 

Maintainer: sam 

Author: sam 

Section: Tweaks 

Homepage: http://bbs.iosre.com 


9.4.5 测试 


将 写 好 的 tweak 编 译 打 包 安 装 到 iOS 后 ， 打 开 
微 信 ， 长 按 小 视频 播放 窗口 ， 束 会 弹出 目 定义 采 


单 ， 如 图 9-29 所 示 。 


e2000 中 国联 通 e 21:28 © 93% (898) + 


< Discover Moments O 


Save to Disk Copy URL 
a E T 


21 hours ago 


图 9-29 Ae X. SE ER. 


点 击 “Save to Disk”， 这 个 小 视频 会 被 保存 到 
相册 中 ， 如 图 9-30 所 示 。 


点 击 “Copy URL”， 然 后 到 OPlayer Lite (或 任 
意 文 持 在 线 视 频 播 放 的 App) 中 打开 这 个 网 址 ， 
如 图 9-31 所 示 。 


eoooo 中 国联 通 FS 21:36 


Today 
00:27 


图 9-30 ”把 小 视频 保存 到 相册 


eecoo 中 国联 通令》 21:40 g 95% EN f 
+> 00:00:01 一 一 | -00:00:06 E g 


1023_9f3d3a317e6948b5a84d826b954c6cca.f0.mp4 
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图 9-31 TEOPlayer Lite 中 播放 在 线 mp4 


所 有 功能 均 可 正常 工作 ， 本 章 任务 达成 ! 


9.5 LAU BS 
9.5.1 ”从 UIMenuIltem 切 入 ， 找 到 小 视频 对 象 


在 9.2.7 节 中 ， 从 WCTimeLineViewController 
切入 ， 找 到 了 小 视频 对 象 。 但 这 个 过 程 并 不 顺 
利 ， 因 为 没有 找到 通过 C 直 接 访问 M 的 方法 ， 所 以 
才 “ 不 得 已 ”从 tableView:cellForRowAtIndexPath: 中 
FRM RARR, WARI) T HE e WWR 
跳出 MVC 的 通用 思路 ， 从 微 信 本 号 的 角度 考虑 问 

题 ， 事 情 或 许可 以 简单 得 多 


一 起 来 思考 : 长 按 小 视频 播放 窗口 ， 会 出 现 
末 单 。 选 择 采 蛙 中 的 选项 ， 会 对 小 视频 做 出 相应 
的 操作 一 ”也 束 是 说 ，UIMenuItem 上 的 action 中 可 


小 视频 对 象 的 线索 。 在 图 9-11 中 ， 我 们 曾 
看 到 过 “Favorite” 选 项 的 啊 应 函数 ， 即 
onFavoriteAdd:， 那 就 去 IDA 中 看 看 它 的 实现 是 怎 
样 的 吧 ， 如 图 9-32 所 示 。 


; WCContentItemViewTemplateNewSight - (void)onFavoriteAdd: (id) 
; Attributes: bp-based frame 


; void _ cdecl -[WCContentlItemViewTemplateNewSight onFavoriteAdd:] 
. WCContentItemViewTemplateNewSight onFavoriteAdd - 


var 28-5 -0x28 
var 24= -0x24 
var 20-9 -0x20 
var lC*- -OxlC 


(R4-R7,LR) 

R7, SP, #0xC 

(R8,R10,R11) 

SP, SP, #0x10 

R10, RO 

$(o0ff 1A002FC - Ox21EAF4) ; off 1A002FC 

$&(:lowerl6:(selRef contentObj - Ox21EAFA)) 
PC ; off 1A002FC 
#(:upperl6:(selRef_contentObj - Ox21EAFA)) 
PC ; selRef contentObj 
[RO] ; WCDataltem * oDataItem; 
[R1] ; "contentObj" 
[RO] 
[R10,R4] 

j__objc_msgSend 

R5, RO 

RO, #(selRef_mediaList ~ Ox21bEB14) ; selRef medi 


; selRef mediaList 
"mediaList" 


图 9-32  [WCContentItemViewTemplateNewSight 


onFavoriteAdd: | 


从 图 9-32 可 以 看 到 ， 这 个 函数 的 开头 部 分 出 
现 了 我 们 熟悉 的 WCDataltem、contentObj 和 
mediaList。 如 果 当 时 从 这 个 函数 入 手 ， 整 个 分 析 
过 程 的 工作 量 至 少 可 以 减轻 一 半 。 看 来 ， 虽然 以 
MVC 标 准 为 线索 从 App 切 入 代码 是 一 条 通用 的 思 
路 ， 但 打破 常规 往往 能 取得 意 想 不 到 的 效果 ， 证 
iOS 逆 向 工程 变 得 更 好 玩 。 


9.5.2 ” 微 信 历 史 版 本 头 文件 个 数 变 迁 


从 微 信 历代 版 本 头 文件 数量 的 变迁 中 (如 图 
9-33 到 图 9-38 所 示 ) 可 以 看 出 ， 微 信和 是 如 何 一 步 
步 廊 向 优秀 的 。 不 积 哇 步 无 以 至 千里 ， 疝 微 信人 致 
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9-34 ” 微 信 3.0，995 个 头 文件 
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图 9-35” 微 信 4.5，2267 个 头 文 件 
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Nov 21, 2013, 22:05 
Nov 21, 2013, 22:05 
Nov 21, 2013, 22:05 
Nov 21, 2013, 22:05 
Nov 21, 2013, 22:05 
Nov 21, 2013, 22:05 
Nov 21, 2013, 22:05 
Nov 21, 2013, 22:05 
Nov 21, 2013, 22:05 
Nov 21, 2013, 22:05 
Nov 21, 2013, 22:05 
Nov 21, 2013, 22:05 
Nov 21, 2013, 22:05 


B Macintosh HD » fig Users > 4 sam > Ml Documents » (Bg weixin > [lg weixin > [lg header50 - 


19-36 5.0, 37347 3L xf 


Date Modified 


Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 
Dec 25, 2013, 21:24 
JKDictionaryEnumerator.h Dec 25, 2013, 21:24 
JKSerializer.h Dec 25, 2013, 21:24 
JoinTrackRoomRequest.h Dec 25, 2013, 21:24 


Dac 25. 2013. 21:24. 
@ Macintosh HD » 国 Users » $ sam » [fi Documents » (fy weixin » By weixin » Ml header.5.1 


h 
h 
h 
hi 
h 
h 
h 
h 
h 
h 
h 
h 
h 
h 


图 9-37” 微 信 5.1，3537 个 头 文 件 ， 比 5.0 版 还 少 几 


| 


————— o o ree 


m — n h 

SequencePageScr...taSource-Protocol.h t 19, i ; 452 bytes 
ServiceAppData.h ; 414 2 KB 
ServiceAppListViewController.h t 19, 2014, 11:3 1 KB 
ServiceAppsLogicimpi.h Š , it: 1KB 
SessionAbstractDB.h st 19, , 14:38 627 bytes 
SessionCellLayoutParam.h ; dE 2 KB 
SessionDelegate-Protocol.h st 19, 2014, 11:36 776 bytes 
SessionSelectController.h , 2014, 
SessionSelectContr...elegate-Protocol.h t 19, 2014, 

SessionSortCache.h , 2014, 

SessionSortLogic.h t 19, 2014, 11:35 784 bytes 
SessionStorageSetting.h , 2014, 11: 859 bytes 
SessionTransiateinfos.h st 19, 2014, 11:2 919 bytes 
SetAPPListRequest.h , 2014, 11: 1 KB 
SetAPPListResponse.h st 19, 2014, 11:38 954 bytes 
SetAppSettingRequest.h , 2014, 11: 1 KB 
SetAppSettingResponse.h st 19, 2014, 11:35 1KB 


SatNavicreS afaView™nntraliar h Det 2014 32 IKA 
@ Macintosh HD » Big Users * @ sam > if Documents » By weixin » By weixin > By header.6.0 


5,225 items, 14.96 GB available 


图 9-38” 微 信 6.0，5225 个 头 文 件 


Namo 
h 
h 
h 
h 
h 
h 
h 
h 
h 
h 
h 
h 
h 
h 
h 
h 
h 
h 
h 


经 历 3、4、5、6 这 4 个 大 版 本 的 迭代 ， 微 信 的 
头 文件 个 数 从 最 初 的 不 足 1000 到 现在 突破 5000， 
增加 了 5 倍 有 余 。 随 看 微 信 在 全 球 艺 围 内 的 普及 ， 
App 头 文件 个 数 突破 10000 已 经 指日可待 了 


9.6 ”小结 


AE DA if A Hb. ANDREI TR 
TE ILI HU  BIURLBSZIBE, FE T /INDUPREEU 
法 和 传播 渠道 。 微 信 作 为 一 个 功能 强大 的 平台 ， 
结构 复杂 、 代 码 量 大 ; 它 的 架构 设计 非常 考 完 ， 
模块 划分 非常 消 晰 ， 仪 仅 浏 哎 头 文件 束 能 借鉴 学 
习 很 多 经 验 ， 其 至 连 编码 风格 部 能 看 出 各 种 年 代 
的 程序 员 的 痕迹 。 建 议 大 家 用 堵 同 工程 的 方式 次 
入 了 解 微 信 的 设计 理念 ， 相 信 你 会 受益 菲 浅 ;我 
们 会 在 http://bbs.iosre.com 上 讨论 交流 对 微 信 有 的 人 研 


AMF, MWR ° 


第 10 章 ”实战 4: 检测 与 发 送 iMessage 
10.1 iMessage 


iMessage 是 苹果 公司 无 颖 整合 在 系统 原生 信 
息 应 用 〈 以 下 简称 MobileSMS) 内 的 即时 通信 服 
务 ， 其 出 生 于 iOS 5， 壮 大 于 iOS 8， 无 论 是 文字 
传输 、 图 片 展示 、 语 首 还 是 视频 播放 ， 都 能 够 保 
证 安全 、 节 能 、 快 速 而 且 高 效 。 我 们 都 爱 


iMessage | 


在 iMessage 的 所 有 功能 中 , “检测 对 方 是 否 
持 iMessage 通 信 ” 及 “发 送 iMessage” 的 功能 想必 是 
大 家 最 感 兴 趣 的 目标 ， 没 有 之 一 。 我 国 甚 至 出 现 
了 大 批 以 发 送 iMessage 三 告 为 业务 的 公司 ， 有 的 


BARSA, (2h Message H P RAVER 
扰 却 无 人 买单 ， 而 这 也 是 笔者 出 品 Cydiajy 

用 “SMSNinja” 有 的 主要 原因 之 一 。 知 道 怎 么 攻击 ， 

才能 了 解 如 何 防守 ， 知 已 知 彼 方 能 百 战 不 玖 ， 本 
TENA Me PAPA ARA, MER DS e 
出 检测 与 发 送 iMessage 的 功能 ， 作 为 全 书 案例 的 
总 结 。 以 下 的 操作 在 iPhone 5, iOS 8.1 中 完成 。 


10.2. MW —^ — AS BV BIA HIE F 


iMessage 


要 移 分 析 一 下 抽象 的 目标 ， 并 将 其 具体 化 ， 然 后 
制定 这 次 了 逆 加 工程 的 思路 ， 再 贯 实地 的 


行 。 


按照 惯例 ， 在 使 用 工具 开始 刻 癌 工程 之 前 ， 
其 具 
彻 思 


10.2.1 ”观察 MobileSMS 界 面 元 素 的 变化 ， 寻 找 逆 
[E] JN, FA 


使 用 MobileSMS 的 朋友 都 会 注意 到 ， 在 发 送 
一 条 信息 的 整个 过 程 中 ， 苹 果 都 会 通过 文字 及 颜 
色 的 变化 ， 来 提示 用 户 当 前 发 送 的 是 一 条 短信 


(以 下 简称 SMS) 还 是 一 条 iMessage， 具 体 表现 
在 以 下 几 方面 。 


A. 当 开始 编写 一 条 信息 ， 刚 输入 完 对 方 的 地 
还 没有 输入 信息 内 容 时 ， 如 末 iO0S 检 测 到 对 方 
文 持 iMessage， 信 息 输 入 框 处 的 占 位 从 
(placeholder) 就 会 由 “Text Message” 变 
成 Message”， 如 图 10-1 所 示 。 


10-1 ”placeholder 的 变化 


B. 当 输入 信息 内 容 时 ， 如 采 对 方 仅 文 持 
SMS, Mina tE] Send FIFEN; 如 有 果 
X17; x hriMessage, M “Send” $ AEA; 


C. A i Send” A SERET, WRI 
—RSMS, [fH WEN eee; 如 采 走 一 


条 iMessage， 和 气泡 是 监 色 的 。 


这 3 种 现象 会 依次 出 现 ， 不 过 ， 因 为 检测 
iMessage 的 操作 在 第 一 个 现象 里 已 经 出 现 了 ， 所 
以 仅 把 这 一 个 现象 作为 切入 点 来 分 析 丈 已 经 能 够 
达到 本 市 的 目标 了 。 下 面 会 把 火力 集中 在 现象 A 
Le 


HE SOAR ZI, BRA RS. EA 
jüjoUT- BUR S REA ROS [8] LEID ER: 


我 们 能 够 观察 到 的 是 发 生 在 UI 上 的 现象 ， 
HI*Text Message” 变 成 “i4Message”。 我 们 知道 ，UI 
上 显示 的 内 容 不 是 凭空 生成 的 ， 它 显示 的 是 其 数 
据 源 的 值 一 一 那么 或 可 以 根据 这 个 现象 ， 用 
Cycript 找 到 UI 的 数据 着 ， 即 placeholder ° 


placeholder 也 不 是 凭空 生成 的 ， 它 的 全 也 来 
自 它 的 数据 源 一 一 它 之 所 以 发 生 改 变 ， 是 因为 它 
的 数据 源 (的 数据 源 的 数据 源 ..….... 以 下 简称 N 重 
数据 源 ) 发 生 了 改变 ， 类 似 于 下 面 的 伪 代 码 : 


id dataSource = ?; 

id a = function(dataSource); 
id b = function(a); 

id c = function(b); 


id z = function(y); 
NSString *placeholder = function(z); 


M ETBBUDSF RS By DAT, TERRA US 
dataSource，dataSource 发 生 了 变化 ， 间 接 导 致 
placeholder 变 化 。 可 以 理解 吧 ? 那 原 始 数 据 产 是 
什么 呢 ? 在 现象 A 里 ， 我 们 唯一 输入 的 驶 是 收 件 
人 人 地址， 因此 原始 数据 源 当 然 束 是 收 件 人 人 地址 
ij! 对 于 “检测 iMessage” 来 说 ，MobileSMS 中 应 该 
存在 一 个 dataSource 转 换 为 placeholder 的 过 程 ， 这 
个 过 程 就 是 “检测 iMessage” 的 确切 含义 ， 也 束 是 
本 万 的 目标 ， 如 图 10-2 所 示 。 


recipient 
address 


message 
history 


placeholder 


dataSource 


图 10-2 ”dataSource 转 化 为 placeholder 的 过 程 (1) 


你 可 能 会 想 ， 图 10-2 这 么 直观 ， 既 然 
dataSource 已 知 ， 那 整 直 接 从 它 入 手 ， 找 到 
placeholder, MWARI HAT? 但 是 现实 往往 没 
有 有 这么 美好 一 一 我 们 没有 新 代码 ， 进 程 流程 一 般 
也 没有 这 人 么 傈 单 ， 在 大 多 数 时 候 ，dataSource 转 换 
为 placeholder 的 过 程 如 图 10-3 所 示 。 


dataSource 要 经 过 多 重 转换 才能 生成 
placeholder, EIZ ARRIE AR o WRM 
dataSource 入 手 ， 如 何 知 道 它 要 走 4 条 路 中 的 哪 条 
路 才能 到 达 placeholder? 在 这 种 情况 下 ， 因 为 
placeholder 是 唯一 的 ， 所 以 从 placeholder 入 手 ， 用 
终点 倒 推 起 点 ， 来 还 原 过 程 ， 是 更 高 效 更 可 行 的 
做 法 。 


图 10-3 ”dataSource 转 化 为 placeholder 的 过 程 (2) 


总 结 一 下 ， 逆 同 工 程 的 思路 是 这 样 的 ， 先 用 
Cycript 定 位 placeholder， 然 后 通过 IDA 和 LLDB 寻 
找 placeholder 的 N 重 数据 源 ， 直 到 找到 
dataSource， 最 后 还 原 dataSource 生 成 placeholder 的 
过 程 。 看 起 来 很 简单 是 吧 ? 实际 操作 起 来 你 就 知 
IA AR S o RRP URI © 


10.2.2 ”用 Cycript 找 出 placeholder 


打开 MobileSMS， 新 建 一 条 信息 ， 在 地 址 输 
入 框 中 填写 “bbs.iosre.com”， 然 后 点 击 “return” 结 
束 输入 ， 如 图 10-4 所 示 。 


eeeoo 中 国联 通 > 21:52 gU 89% M+ 


New Message Cancel 


To: bbs.iosre.com, © 


图 10-4 ”新 建 一 条 信息 


BEA H Cycriptixplaceholder, 753); 
Cycript 来 找 找 显 示 placeholder 当 前 值 “Text 
Message” 的 是 哪个 view，Pplaceholder 一 定 跟 那个 
View 密切 相关 ， 对 吧 ? EE! 执行 下 面 的 代码 : 


FunMaker-5:~ root# cycript -p MobileSMS 

cy# ?expand 

expand -- true 

cy# [[UIApp keyWindow] recursiveDescription] 


寺 面 代码 执行 之 后 ，Cycript 会 打印 出 
keyWindow 有 的 视图 结构 ， 内 容 很 多 ， 丈 不 贴 在 这 
里 了 。 在 输出 里 搜索 “Text Message”， 发 现 一 个 匹 
配 也 搜 不 到 。 这 是 怎么 回 事 ?相信 你 也 想到 了 
一 一 “Text Message” 不 在 keyWindow 里 。 为 了 验证 
BUNA, RAS SHR TAA ILS 
window, Zl F: 


cy# [UIApp windows] 

@[#"<UIWindow: 0x1575ca10; frame = (0 0; 320 568); 
gestureRecognizers = <NSArray: 0x15629c60»; layer = 
«UIWindowLayer: 0x156e36f0>>",#"<UITextEffectswindow: 
0x1579ab70; frame - (0 0; 320 568); opaque - NO; autoresize 
= W+H; gestureRecognizers = «NSArray: 0x1579b300>; layer = 
«UIWindowLayer: 0x1579adf0>>", #"<CKJoystickWindow: 
0x1552bf90; baseClass = UlAutoRotatingWindow; frame = (0 0; 
320 568); hidden = YES; gestureRecognizers = <NSArray: 
0x1552b730>; layer = <UIWindowLayer: 0x1552bdc0>>",#" 
«UITextEffectsWindow: 0x1683a2e0; frame = (0 0; 320 568); 
hidden - YES; gestureRecognizers - «NSArray: 0x1688b9e0»; 
layer <UIWindowLayer: 0x168b9ad0>>" ] 


可 以 看 到 ， 每 一 个 以 “打开 头 的 都 是 一 个 
window， 这 里 一 共有 4 个 window， 其 中 第 一 个 是 
keyWindow。 那 么 哪 一 个 是 “Text Message” 所 在 的 
window 呢 ? 从 关键 字 上 也 能 狂 测 出 ， 市 “Text" 字 
样 的 第 2 和 第 4 个 window 可 能 是 我 们 的 目标 ， 而 第 
4 个 window 的 hidden 属 性 是 YES， 它 压根 儿 没 有 显 
示 在 界面 上 ， 因 此 肯定 不 是 它 。 可 见 ， 第 2 个 
window 很 可 能 了 驶 是 我 们 的 目标 ， 用 Cycript 测 测 
看 ， 如 下 : 


cy# [#0x1579ab70 setHidden:YES] 


回 车 之 后 发 现 ， 不 只 是 信息 输入 框 ， 整 个 键 
僵 都 航 隐藏 起 来 了 ， 如 图 10-5 所 示 。 


eeeco 中 国联 通 v 21:52 © 8996 E+ 


New Message Cancel 


lo: bbs.iosre.com, | Q 


图 10-5 (A s AN TER BE Tk Be Do et 


从 而 可 以 得 出 绪论 , “Text Message" Wifi, T 3X 
个 window 中 ， 继 续 通 过 Cycript 来 定位 它 ， 如 下 所 


imi 


ZN: 


cy# [#0x1579ab70 setHidden:NO] 

cy# [#0x1579ab70 subviews] 

Q[#"<UIInputSetContainerView: 0x1551fb10; frame = (0 0; 320 
568); autoresize = W+H; layer = <CALayer: 0x1551f950>>"] 
cy# [#0x1551fb10 subviews] 

Q[#"<UIInputSetHostView: 0x1551f5e0; frame = (0 250; 320 
318); layer = <CALayer: 0x1551f480>>"] 

cy# [#0x1551f5e0 subviews] 

@[#"<UIKBInputBackdropView: 0x16827620; frame = (0 65; 320 
253); userInteractionEnabled = NO; layer = <CALayer: 
0x1681c3f0>>",#"<_UIKBCompatInputView: 0x157b88d0; frame = 
(0 65; 320 253); layer = <CALayer: 0x157b8a10>>",#" 
«CKMessageEntryView: 0x1682ca50; frame = (0 0; 320 65); 
opaque - NO; autoresize - W; layer - «CALayer: 
0x168ec520»2" | 


上 面 代 码 中 又 有 3 个 subview， 哪 个 是 “Text 
Message” PJ PTE? 用 下 面 的 排除 法 来 过 一 过 : 


cy# [#0x16827620 setHidden:YES] 


上 面 语 句 执行 之 后 变 成 了 图 10-6 所 示 的 界 
面 ， 说 明 这 个 view 只 是 键盘 背景 而 已 。 


执行 下 面 的 代码 : 


cy# [#0x16827620 setHidden:NO] 
cy# [#0x157b88d0 setHidden: YES] 


这 两 个 语句 执行 之 后 界面 变 成 了 图 10-7 所 示 
的 状态 3 


eeoco 中 国联 通 T 13:50 9 8596 M+ 


New Message Cancel 


To: bbs.iosre.com 


QWERTYUI!I P 
ASDFGH JKL 


会 ZXCVBNM 


123 Q OQ space return 


图 10-6 AER aa 


eeoco 中 国联 通 > 13:52 9 8696 E94 
New Message Cancel 


| Subject 


IBI | Text Message 


图 10-7 ”键盘 按键 家 隐藏 


说 明 这 个 view 吏 是 键盘 本 号 。 也 驶 是 说 ， 
UIKBInputBackdropView 和 UIKBCompatInputView 
共同 构成 了 一 个 键盘 的 view， 这 种 官方 设计 模式 
可 以 供 第 三 方 键 盘 开 发 者 或 键盘 主题 制作 者 参 
TER o 


现在 只 剩 最 后 一 个 subview 了 ， 
CKMessageEntryView 这 个 名 字 的 意义 其 实 也 很 明 
显 ， 还 是 像 下 面 这 样 验证 一 下 吧 : 


cy# [#0x157b88d0 setHidden:NO] 
cy# [#0x1682ca50 setHidden: YES] 


执行 后 界面 如 图 10-8 所 示 。 


eeoco 中 国联 通 > 13;56 9 87% E) + 


New Message Cancel 


To: bbs.iosre.com 


图 10-8 {a A ATE RRB et 


通过 验证 ， 说 明 “Text Message" Æ 
CKMessageEntryView 中 。 继 续 缩 小 苑 围 ， 如 下 : 


cy# [#0x1682ca50 setHidden:NO] 

Cy# [#0x1682ca50 subviews] 

@[#"<_UIBackdropView: 0x168ce210; frame = (0 0; 320 65); 
opaque = NO; autoresize = W+H; userInteractionEnabled = NO; 
layer = <_UIBackdropViewLayer: 0Ox168f5300>>", #"<UIView: 
0x168d2b70; frame = (0 0; 320 0.5); layer = <CALayer: 
Ox168d2be0>>",#"<UIButton: 0x1684b240; frame = (266 27; 53 
33); opaque = NO; layer = «CALayer: 0x168d64b0>>",#" 
<UIButton: Ox168b88b0; frame = (266 30; 53 26); hidden = 
YES; opaque = NO; gestureRecognizers = <NSArray: 
0x16840030»; layer = <CALayer: 0x16858420>>",#"<UIButton: 
0x16833ac0; frame = (15 33.5; 25 18.5); opaque = NO; 
gestureRecognizers = <NSArray: 0x1682d9b0»; layer = 
<CALayer: 0x16838780>>",#" 
<_UITextFieldRoundedRectBackgroundViewNeue: 0x168fba00; 
frame = (55 8; 209.5 49.5); opaque = NO; 
userInteractionEnabled = NO; layer = <CALayer: 
Ox1682da50>>",#"<UIView: Ox168dcf10; frame = (55 8; 209.5 
49.5); clipsToBounds = YES; opaque = NO; layer = <CALayer: 
0x168e4170>>", #"<CKMessageEntryWaveformView: 0x1571b710; 
frame = (15 25.5; 251 35); alpha = 0; opaque = NO; 
userInteractionEnabled = NO; layer = <CALayer: 
0x1578fc90»»"] 


还 是 使 用 排除 法 寻找 “Text Message” 所 在 的 
view， 这 里 的 过 程 束 不 再 重复 了 ， 留 给 该 者 目 己 
练习 。 在 定位 到 了 “UIView: 0x168dcf10”( 注 


I 
JOJN 


车 ， 是 第 二 个 UIView 对 象 ) 之 后 ， 继 续 查 看 它 的 


subview， 如 下 : 


Cy# [#0x168dcf10 subviews] 

@[#"<CKMessageEntryContentView: 0x16389000; baseClass = 
UIScrollView; frame = (3 -4; 203.5 57.5); clipsToBounds = 
YES; opaque - NO; gestureRecognizers - «NSArray: 
0x168f0730»; layer = «CALayer: 0x168e41a0>; contentOffset: 
(0, ©}; contentSize: (203.5, 57}>"] 


上 面 代码 中 只 有 一 个 subview， 继 续 查 看 这 个 


subview 鸭 subview， 如 下 : 


Cy# [#0x16389000 subviews] 

@[#"<CKMessageEntryRichTextView: 0x16295200; baseClass = 
UITextView; frame = (0 20.5; 203.5 36.5); text = ''; 
clipsToBounds - YES; opaque - NO; gestureRecognizers - 
«NSArray: 0x168f5a60»; layer = «CALayer: 0x168f59c0»; 
contentOffset: (0, 0); contentSize: (203.5, 36.5}>",#" 
«CKMessageEntryTextView: 0x15ad2a00; baseClass = UITextView; 
frame = (0 0; 203.5 36.5); text = ''; clipsToBounds = YES; 
opaque = NO; gestureRecognizers = «NSArray: 0x1578e600»; 
layer = <CALayer: 0x157dcff0>; contentOffset: (0, 0); 
contentSize: (203.5, 36.5}>",#"<UIView: 0x157e9160; frame = 
(5 28; 193.5 0.5); layer = «CALayer: 0x15733bd0>>",#" 
«UIImageView: 0x157308d0; frame = (-0.5 55; 204 2.5); alpha 
= 0; opaque = NO; autoresize = TM; userInteractionEnabled = 
NO; layer = <CALayer: 0x15730950>>",#"<UIImageView: 
0x157ef530; frame = (201 0; 2.5 57.5); alpha = 0; opaque = 
NO; autoresize = LM; userInteractionEnabled = NO; layer = 
«CALayer: 0x157ef5b0>>" ] 


还 是 用 排除 法 寻找 “Text Message” 所 在 的 
view， 我 们 发 现 ， 当 执行 “[#0Ox16295200 
setHidden:YES]” 时 ， 只 有 “Text Message" f [ek 
了 ， 弄 面 上 的 其 他 榨 件 并 未 有 党 影响 ， 如 图 10-9 所 


AN? 


i HHCKMessageEntryRichTextView Wo xe fk 
们 想 要 定位 的 view。 打 开 CKMessageEntry-Rich- 
TextView.h， 看 看 能 不 能 找到 placeholder 的 踩 影 ， 
如 图 10-10 所 示 。 


可 是 ， 在 CKMessageEntryRichTextView 中 搜 
不 到 placeholder。 难道 推 理 出 了 差错 ? 不 要 着 
急 ， 转 战 到 它 的 父 类 CKMessageEntryTextView 里 
去 看 看 ， 如 图 10-11 所 示 。 


可 以 看 到 ， 满 屏 的 placeholder 字 有 眼 。 其 中 ， 
placeholderLabel 和 placeholderText 文 2 个 property 很 
Ase, YEE) ete Fel EPL placeholder? 用 
CycriptduE— F, HTU TMS: 


cy# [#0x16295200 setPlaceholderText:@"iOSRE"] 


eeeoo 中 国联 通 全 21:59 © 91% ES) 4 


New Message Cancel 


To: bbs.iosre.com, © 


QIWIEIRITIYIUU 


| c RYE) RR] S 


AT[SIDIFIGIHIJIKIL 


#410-9 placeholder # Eck 


3 /1 
4 // class-dump is Copyright (C) 1997-1998, 2000-2001, 2004-2013 by Steve Nygard. 
// 
d 


7 #import «ChatKit/CKMessageEntryTextView.h» 


) #import "NSTextStorageDelegate.h" 


11 class CKComposition, NSMutableDictionary, NSString; 


13 &interface CKMessageEntryRichTextView : CKMessageEntryTextView «NSTextStorageDelegate» 
14 { 
15 BOOL .balloonColor; 
NSMutableDictionary * media0bjects; 
NSMutableDictionary *. composelmages; 
CKComposition * pasteboardComposition; 
1 int .pasteboardChangeCount ; 
20 } 


E486: Pattern not found: \V\cplaceholder 


图 10-10 CKMessageEntryRichTextView.h 


此 时 ， 界 面 变 成 了 下 面 这 个 样子 (如 图 10-12 
所 示 ) 。 


11 @interface CKMessageEntryTextView : UITextView 


i 
BOOL  showingDictationgl gs 15; 
NSString * autocorrectionContext; 
NSString *_responseContext; 
16 UILabel diolaceholder E 238 
19 @property(retain, nonatomic) UILabel *SETTTSEELabel; // 
20 @property(copy, nonatomic) NSString *responseContext; // @s 
21 OGproperty(copy, nonatomic) NSString *autocorrectionContext 
2 @property(nonatomic, gettereisShowingDictationi is 1 PT ) 
Placeholder 
23 - (void)textViewDidChange: (id)arg1; 
24 - (void)updateTextView; 
5 @property(readonly, nonatomic, gettereisSingleline) BOOL si 
26 @property(copy, nonatomic) NSString ploceholderll 2,9 
27 Éproperty(copy, nonatomic) NSAttributedString *composition 
8 - (void)removeDictationResult d 239 3:(id)argi willInse 


图 10-11  CKMessageEntryTextView.h 


eecco 中 国联 通 > 14:15 9 92% mm + 


New Message Cancel 


To: bbs.iosre.com 


QIWIEIRITIYIU 


^ — MÀ — A — M — 


AISIDIFIGIHIJIKIL 


图 10-12 ”更 改 placeholder 为 “iOSRE” 


Af, placeholderTextiize 3.4 ] 3X 
placeholder， 目 此 它们 两 痢 等 同 ， 为 了 避免 混 


消 ， 下 文 统一 使 用 placeholderText。 旗 开 得 胜 ， 我 
们 跨 出 了 万 里 长 征 的 第 一 步 ! 


10.2.3 ”用 IDA 和 LLDB 找 出 placeholderTextH 一 重 
数据 产 


placeholderText 是 一 个 property， 而 要 改变 一 
个 property， 笔 者 的 第 一 反应 驶 是 它 的 setter。 在 通 
i Val H setPlaceholderText:KH4X, f@placeholderText 
从 “Text Message” 改 为 “iOSRE” 的 同时 ， 不 怒 大 胆 
假设 一 下 ，MobileSMS 会 不 会 也 是 通过 调用 这 个 
setter 来 改变 placeholderText 的 呢 ? 实际 验证 一 下 
是 最 好 不 过 的 ， 接 下 来 轮 到 IDA 和 LLDB 上 场 了 。 


为 最 后 定位 到 的 CKMessageEntryTextView 
类 来 自 ChatKit， 所 以 接 下 来 的 目标 是 分 析 


MobileSMS 这 个 可 执行 文件 中 的 ChatKit 库 ， 可 以 
理解 吧 ? 好 的 ， 把 ChatKit 的 二 进 制 文件 丢 到 IDA 
中 ， 初 始 分 析 结 束 后 ， 定 位 到 
[CKMessageEntryTextView setPlaceholderText:], 
如 图 10-13 所 示 。 


; CKMessageEntryTextView - (void)setPlaceholderText:(id) 
; Attributes: bp-based frame 


; void  cdecl -[CKMessageEntryTextView setPlaceholderText:] 
m É dE A setPlaceholderText 
SH oe -R7, 
RO 


4, 
mo #(selRef_placeholderLabel ~ 0x2693BCF2) 
R7, SP, #0xC 
RO, PC ; selRef placeholderLabel 


R5, R2 
R1, [RO] ; "placeholderLabel" 
RO, R4 


_objc_msgSend 
图 10-13 [CKMessageEntryTextView 
setPlaceholderText:] (1) 


然后 用 LLDB 附 加 MobileSMS， 待 初始 化 完成 
后 执行 “ce” 命令， 让 MobileSMS 运 行 起 来 ， 如 下 : 


(lldb) process connect connect://iOSIP:1234 
Process 200596 stopped 
* thread #1: tid = Ox30f94, 0x316554f0 
libsystem kernel.dylib mach msg trap + 20, queue = 
'com.apple.main-thread, stop reason - signal SIGSTOP 
frame #0: Ox316554f0 
libsystem kernel.dylib mach msg trap + 20 
libsystem kernel.dylib mach msg trap + 20: 
-» 0x316554f0: pop (r4, r5, r6, r8) 
0x316554f4: bx lr 
libsystem_kernel.dylib`mach_msg_overwrite_trap: 
0x316554f8: mov r12, sp 
0x316554fc: push {r4, r5, r6, r8} 
(1ldb) c 
Process 200596 resuming 


之 后 ， 再 看 看 ChatKit 的 ASLR 偏 移 ， 如 下 : 


(lldb) image list -o -f 

[ ©] 0x00079000 

/private/var/db/stash/ .29LMeZ/Applications/MobileSMS.app/Mo 
bileSMS(0x000000000007d000) 

[ 1] 0x0019c000 
/Library/MobileSubstrate/MobileSubstrate.dylib(0x00000000001 
9c000) 

[ 2] 0x01eac000 
/Users/snakeninny/Library/Developer/Xcode/iOS 
DeviceSupport/8.1 
(12B411)/Symbols/System/Library/Frameworks/Foundation.framew 
ork/Foundation 

[ 9] 0x01eac000 
/Users/snakeninny/Library/Developer/Xcode/iOS 
DeviceSupport/8.1 
(12B411)/Symbols/System/Library/PrivateFrameworks/ChatKit.fr 
amework/ChatKit 


这 个 偏 移 值 是 0xleac000。 有 了 这 个 值 ， 就 可 
以 在 [CKMessageEntryTextView 
setPlaceholderText:] 中 下 个 断 点 ， 看 看 它 有 没有 被 
WH, WRR, HELE o J TIED A 
下 在 这 个 函数 的 开头 位 置 ， 要 先 在 IDA 中 看 看 这 
个 函数 的 基地 址 ， 如 图 10-14 所 示 ， 可 以 看 到 ， 是 


Ox2693BCE0 ° 


text:2693BCEO ; rever tr ep te - A oaae (id) 


tes: bp-based fr 


; "DATA XREF: — objc 
PUSH (RA-R7 ,LR} 
MOV R4, RO 


图 10-14 [CKMessageEntryTextView 


setPlaceholderText:] (2) 


Pr CART Sk 
0x1eac000--0x2693BCE0-0x287E7CEO ° 


(lldb) br s -a 0x287E7CEO 
Breakpoint 1: where - ChatKit - 
[CKMessageEntryTextViewsetPlaceholderText:], address - 
0x287e7ce0 


授 看 ， 把 地 址 输入 框 中 的 “bbs.iosre.com” 换 成 
一 个 支持 iMessage 的 地 
址 “snakeninny@gmail.com”， 看 看 进程 会 不 会 保 
在 断 点 上 。 这 时 ， 你 会 故 现 ， 在 实际 控 作 中 ， 随 
看 地 址 的 变动 ， 进 程 会 多 次 集 在 断 点 上 ， 这 说 明 
[CKMessageEntryTextView setPlaceholderText: |% 
调用 了 很 多 次 。 那 么 如 何 知 道生 在 哪 一 次 调用 
FH, placeholderTextA "Text Message” 
AM “iMessage’ WE? 此 刻 ， 之 前 介绍 的 comm 命 令 吏 
KEHAT, MEWT: 


(lldb) br com add 1 

Enter your debugger command(s). Type 'DONE' to end. 
> po $r2 

> p/x $1r 

> C 

> DONE 


oU fg e EIS RR a, LEE TE DIT 3 IRL T 
打印 R2 的 “Objective-C description", BP 
setPlaceholdeText: 的 参数 ， 然 后 以 十 六 进 制 格 式 打 
印 LR 的 值 ， 即 [CKMessageEntry-TextView 
setPlaceholderText:] 的 返回 地 址 。 如 采 R2 的 值 
;E"iMessage", ULAR AA E US 
setPlaceholderText:3 PX 2? placeholder TextH? , 
ng 同 
时 因为 对 应 LR 的 值 位 于 调用 者 的 地 址 范围 内 ， 所 
以 可 以 找到 setPlaceholderText: 的 调用 者 ， 继 续 跟 
踪 参 数 的 数据 源 ， 即 placeholderText 的 二 重 数据 
产 。 清 空地 址 输入 框 ， 再 重新 输 
入 “snakeninny@gmail.com”， 看 看 LLDB 什 么 时 候 
会 打印 *iMessage”， 如 下 : 


«object returned empty description» 
(unsigned int) $11 - 0x28768b33 
Process 200596 resuming 

Command #3 'c' continued the target. 
«object returned empty description» 
(unsigned int) $13 - 0x28768b33 
Process 200596 resuming 

Command #3 'c' continued the target. 
«object returned empty description» 
(unsigned int) $15 - 0x28768b33 
Process 200596 resuming 

Command #3 'c' continued the target. 
Text Message 

(unsigned int) $17 - 0x28768b33 
Process 200596 resuming 

Command #3 'c' continued the target. 
iMessage 

(unsigned int) $19 - 0x28768b33 
Process 200596 resuming 

Command #3 'c' continued the target. 


可 以 看 到 ， 当 placeholder 变 成 *iMessage” 时 , 
LR 的 值 是 0x28768b33。 根 据 第 4 章 “ 偏 移 后 指令 基 
地 址 = 偏 移 前 指令 基地 址 + 指令 所 在 模块 的 ASLR 
偏 移 ” 公 式 ，0x28768b33- 
0xleac000=0x268BCB33。 可 见 ， 这 个 地 址 位 于 
ChatKit 内 ， 如 图 10-15 所 示 。 


SXt:Z5B8BCBZt JOY KZ 一 
text:268BCB28 RO, ; selRef setPlaceholderText 
8 RO} ; "setPlaceholderText:" 


Send 
.setBalloonColor - 0x26 


Ment - 0x268BCB54) 
tcipient 
fent” 


text:268BCB5 


图 10-15” 跳 转 到 ChatKit 中 的 0x268BCB33 


说 明 MobileSMS 确 实 束 是 通过 setPlaceholder: 
沙 数 来 改变 placeholder 的 ， 函 数 的 参数 就 是 
placeholder 的 一 重 数据 源 ， 同 时 二 重 数据 源 的 线 

索 也 有 了 着 落 。 万 里 长 征 第 二 步 走 完 ， 有 惊 无 


A | 
We. 


10.2.4 HIDAZILLDB3X HiplaceholderTextH'JN & 
数据 产 


表面 在 操作 中 多 次 编辑 地 址 时 ， 不 知 大 家 有 
没有 注意 到 一 个 现象 ， 那 孢 是 当 我 们 正在 编辑 
Ff, placeholderText# zx FR; HUE E f BETA 
上 的 “Teturn” 结 束 编 辑 后 ，placeholderText 才 会 显 
示 “Text Message” 或 “4Message”。 也 就 是 说 ， 当 地 
址 编辑 结束 时 ，iOS 才 会 检测 当前 地 址 古 否 文 持 
iMessage， 出 于 广 省 性 能 的 考 虚 ， 这 样 的 设计 合 
情 合理 。 也 正和 是 基于 这 样 的 设计 ， 在 接 下 来 的 调 
试 中 ， 可 以 先 把 目标 地 址 编辑 好 ， 然 后 设置 断 
A, BaD retum”, AIFA RRRA, M 
说 明 进 程 停 在 了 iMessage 检 测 的 过 程 中 。 下 面 把 
IDA 往 上 拉 ， 看 看 [CKMessageEntryTextView 
setPlaceholderText:] 的 调用 者 是 谁 ， 如 图 10-16 所 


7x? 


; CKMessageEntryView - i ED E 
; Attributes: bp-based fra 


; void _ cdecl -[CKMessageEntryView updateEntryView] 


| CKMessageEntryView _ updateEntryView 


10-16 [CKMessageEntryTextView 
setPlaceholderText: ]B Val H A 


里 然 在 “更 新 输入 视图 ”的 时 候 “ 设 置 占 位 
^". Wiz, (Be, [CKMessageEntryView 
updateEntryView] 没 有 参数 ， 它 怎么 知道 
placeholderText 悄 该 议 置 成 *Text Message” 1f 
征 “iMessage” 呢 ? 那 只 有 一 种 可 能 ， 融 是 它 的 内 
部 进行 了 判断 ， 得 出 了 该 地 址 文 持 iMessage 的 结 
论 ， 改 变 了 placeholderText 的 二 重 数据 源 。 同 到 
IDA， 看 看 二 重 数 据 源 来 目 哪 里 ， 如 图 10-17 所 


小 


RO, R6 
R1, [SP,f$0x6C*var 60] 
_objc_msgSend 


loc_268BCAFA 


ayName - Ox268BCAFO) ; selRef ck displayName| |loc 268BCAFA 
splayName 


hyName 


, V(selRef contentView ~ 0x268BCB12) ; selRef contentView 
, PC ; selRef contentView 
: [RO] ; "contentView" 

R10 


, RB 
bjc msgSend 
RO 
, 
’ a setPlaceholderText  - 0x268BCB2C) ; selRef setPl 


, 
, e ; selRef _ setPlaceholderText_ 
, Lm ; "setPlaceholderText: 

0, 


pon msgSend 


图 10-17 寻找 二 重 数据 源 


R2 即 芳 数 参数 ， 也 束 是 一 重 数 据 源 ， 而 R2 来 
目 于 R5， 因 此 R5 束 是 二 重 数据 源 。R5 又 是 来 自 于 
哪里 呢 ? 这 里 出 现 了 分 文 ， 我 们 看 看 分 文 的 跳 转 
条 件 ， 如 图 10-18 所 示 。 


, t(selRef recipientCount - 0 
, PC ; selRef recipientCount 
, [RO] ; "recipientCount" 

R6 


, 
, [SP,fOx6C*var 60] 
d 


i 
loc 268BCAFA 


图 10-18 分 支 的 跳 转 条 件 


可 以 看 到 ， 跳 转 条 件 是 “[$r0 
recipientCount]==0” ° “recipient” 的 字面 意思 很 明 
显 ， 束 是 指 信息 的 收 件 人 ， 当 收 件 人 数 为 0， 即 没 
有 收 件 人 时 ， 进 程 走 右边 ， 人 否则 走 左边 。 因 为 这 
里 已 经 有 一 个 收 件 人 了 ， 收 件 人 数 不 为 0， 所 以 进 
程 很 有 可 能 走 左 边 。 要 验证 也 很 简单 ， 先 清空 地 
址 输入 框 ， 然 后 在 地 址 输入 框 中 输 
入 “snakeninny@gmail.com”， 接 看 在 右边 的 分 文 
尾部 下 一 个 断 点 ， 最 后 点 击 键盘 上 的 “retum”。 此 


时 ， 会 发 现 断 点 并 没有 得 到 触发 ， 因 此 可 以 肯定 
地 说 ，R5 来 目 于 左边 的 [$r8_ck_displayName]， 
HU[$r8 ck displayName]zé — avail » (ARB 
KAME? FEERIDA, TE 
[CKMessageEntryView updateEntry View ]H7T 483 
分 ， 可 以 看 到 R8 来 自 [[self 


conversation |sendingService|, 如 图 10-19 所 示 。 


因此 ，[[self conversation]sendingService] a UU 
重 数 据 产 。 再 用 LLDB 来 验证 一 下 判断 : 清空 地 
址 输入 框 ， 输 入 “snakeninny@gmail.com”， 然 后 
在 图 10-19 的 “MOYV R8,R0” 处 下 一 个 断 点 ， 接 着 点 
击 “returm”。 Er RARA PST TA 
fT*po[$rO ck displayName]”， 看 看 是 否 会 输 
出 “iMessage”， 如 下 : 


{R4-R7 ,LR} 

R7, SP, #0xC 

{R8,R10,R11} 

SP, SP, #0x54 

R10, RO 
#(selRef_ conversation - 0x26 
PC ; selRef_conversation 
[RO] ; "conversation" 
R10 
[SP,fOx6C*var 58] 

_objc_msgSend 

6, RO 


#(selRef_sendingService - Ox 
PC ; selRef sendingService 
; sendingService" 


[SP,fOx6C*var 44] 
 objc msgSend 
R8, RO 


图 10-19 ”寻找 四 重 数 据 源 


(lldb) br s -a 0x28768962 

Breakpoint 14: where = ChatKit' -[CKMessageEntryView 
updateEntryView] + 54, address = 0x28768962 

(lldb) br com add 14 

Enter your debugger command(s). Type 'DONE' to end. 
> po [$rO ck displayName] 

>Cc 

> DONE 

Text Message 

Process 200596 resuming 

Command #2 'c' continued the target. 

iMessage 

Process 200596 resuming 

Command #2 'c' continued the target. 


MEHRERE, MRR, BR 
TRAP, iOS Kr] Sl *snakeninny(2 gmail.com" x- 
friMessage ° HA “iMessage” X Ej T [[[self 
conversation |sendingService]__ck_displayName], 
那么 [self conversation] z& T fT A 2S 78 AIT R? 


[[self conversation]sendingService]U/E? Ala, FE 


一 个 一 个 来 看 。 


TAN. SA RTE[CKMessageEntryView 
updateEntryView] 的 前 两 个 “objc_msgSend” 上 各 下 
一 个 断 点 ， 最 后 点 击 “return”， 现 在 来 看 看 这 里 的 
对 象 类 型 ， 如 下 : 


Process 14235 stopped 

* thread #1: tid = 0x379b, 0x2b528948 ChatKit' - 

[CKMessageEntryView updateEntryView] + 28, queue = 

'com.apple.main-thread, stop reason - breakpoint 1.1 
frame #0: 0x2b528948 ChatKit'-[CKMessageEntryView 

updateEntryView] + 28 

ChatKit'-[CKMessageEntryView updateEntryView] + 28: 

-> 0x2b528948: blx Ox2b5f5f44 ; Symbol 

stub for: MarcoShouldLogMadridLevel$shim 


0x2b52894c: mov r6, ro 

0x2b52894e: movw roO, #51162 

0x2b528952: movt ro, #2547 
(lldb) p (char *)$r1i 
(char *) $6 = Ox2b60cc16 "conversation" 
(lldb) ni 
Process 14235 stopped 
* thread #1: tid = 0x379b, 0x2b52894c ChatKit' - 
[CKMessageEntryView updateEntryView] + 32, queue = 
'com.apple.main-thread, stop reason - instruction step over 

frame #0: 0x2b52894c ChatKit'-[CKMessageEntryView 

updateEntryView] + 32 
ChatKit'-[CKMessageEntryView updateEntryView] + 32: 
-> 0x2b52894c: mov r6, ro 

0x2b52894e: movw ro, #51162 

0x2b528952: movt ro, #2547 

0x2b528956: add rO, pc 
(lldb) po $ro 
CKPendingConversation<0x1587e870>{identifier:'(null)' 
guid: '(null)'}(null) 


Fy I, [self conversation] 返 回 的 是 一 个 
CKPendingConversation 类 型 的 对 象 。 接 看 看 下 一 
^, UF: 


(1ldb) c 

Process 14235 resuming 

Process 14235 stopped 

* thread #1: tid = 0x379b, 0x2b52895e ChatKit' - 

[CKMessageEntryView updateEntryView] + 50, queue = 

'com.apple.main-thread, stop reason - breakpoint 2.1 
frame #0: 0x2b52895e ChatKit'-[CKMessageEntryView 

updateEntryView] + 50 

ChatKit'-[CKMessageEntryView updateEntryView] + 50: 

-> 0x2b52895e: blx Ox2b5f5f44 ; symbol 

stub for: MarcoShouldLogMadridLevel$shim 


0x2b528962: mov 

0x2b528964: movw 

0x2b528968: movt 
(lldb) p (char *)$r1i 


(char *) $8 = 0x2b6105e1 


(lldb) ni 
Process 14235 stopped 
* thread #1: tid = 


, ro 
rO, #52792 
rO, #2547 


"sendingService" 


Ox379b, 0x2b528962 ChatKit' - 


[CKMessageEntryView updateEntryView] + 54, queue = 


'com.apple.main-thread, 


stop reason - instruction step over 


frame #0: 0x2b528962 ChatKit'-[CKMessageEntryView 


updateEntryView] + 54 


ChatKit'-[CKMessageEntryView updateEntryView] + 54: 


-» 0x2b528962: mov 
0x2b528964: movw 
0x2b528968:  movt 
0x2b52896c: add 

(lldb) po $ro 

IMService[SMS] 

(lldb) po [$r0 class] 

IMServiceImpl 


, ro 
, #52792 
, 82547 
, pc 


T7, [CKPendingConversation 


sendingService]X 


其 值 为 "IMService[SMS]” (第 


45 p *TMService[iMessage]") 


反 回 的 古 一 个 IMSerciceImpl 对 和 象 ， 


QU BCH Ac AY 


o 因此， 四 重 数据 源 


itz “[CK PendingConversation sendingService]" 


没 问 题 吧 ? 


分 析 到 这 里 ， 再 回 到 IDA， 定 位 
[CKPendingConversation sendingService]， 看 看 它 
的 内 部 是 如 何 工作 的 ， 如 图 10-20 所 示 。 


其 中 的 逻辑 并 不 算 太 复杂 ， 但 在 夺 干 分 文 
里 ， 进 程 实际 走 的 走 哪 一 条 路 呢 ? 用 LLDB 调 试 
一 下 《下 断 点 前 先 重 新 输入 地 址 ) ， 在 所 有 条 件 
跳 转 指 令 上 留意 一 下 跳 转 条 件 的 值 和 下 一 条 指令 
的 地 址 ， 如 下 : 


&|10-20 [CKPendingConversation sendingService] 


Process 14235 stopped 
* thread Z1: tid = 0x379b, Ox2b5f0264 ChatkKit' - 
[CKPendingConversation sendingService], queue - 
'com.apple.main-thread, stop reason - breakpoint 3.1 
frame #0: Ox2b5f0264 ChatKit'-[CKPendingConversation 

sendingService] 
ChatKit'-[CKPendingConversation sendingService ]: 
-> 0x2b5f0264: push {r4, F5, r7, 1r} 

Ox2b5f0266: add r7, sp, #8 

Ox2b5f0268: sub sp, #8 

Ox2b5f026a: mov r4, ro 
(lldb) ni 


Process 14235 stopped 
* thread #1: tid = 0x379b, Ox2b5f027e ChatKit' - 
[CKPendingConversation sendingService] + 26, queue = 
'com.apple.main-thread, stop reason - instruction step over 
frame #0: Ox2b5f027e ChatKit' -[CKPendingConversation 
sendingService] + 26 
ChatKit'-[CKPendingConversation sendingService] + 26: 
-> Ox2b5f027e: chz rO, Ox2b5f02a4 ; - 
[CKPendingConversation sendingservice] * 64 
Ox2b5f0280: movw ro, #38082 
Ox2b5f0284:  movt ro, #2535 
Ox2b5f0288: str r4, [sp] 
(1ldb) p $ro 
(unsigned int) $11 = 0 
(lldb) ni 
Process 14235 stopped 
* thread #1: tid = 0x379b, Ox2b5f02b8 ChatKit' - 
[CKPendingConversation sendingService] + 84, queue = 
'com.apple.main-thread, stop reason - instruction step over 
frame #0: Ox2b5f02b8 ChatKit'-[CKPendingConversation 
sendingService] + 84 
ChatKit'-[CKPendingConversation sendingService] + 84: 
-> Ox2b5f02b8: cbz rO, Ox2b5f02c4 152 
[CKPendingConversation sendingservice] * 96 
Ox2b5f02ba: mov ro, r4 
Ox2b5f02bc: mov ri, r5 
Ox2b5f02be:  blx Ox2b5f5f44 ; Symbol 
stub for: MarcoShouldLogMadridLevel$shim 
(1ldb) p $rO 
(unsigned int) $12 = 341691792 
(l1ldb) ni 
Process 14235 stopped 
* thread #1: tid = 0x379b, Ox2b5f02c2 ChatKit' - 
[CKPendingConversation sendingService] + 94, queue = 
'com.apple.main-thread, stop reason - instruction step over 
frame #0: Ox2b5f02c2 ChatKit'-[CKPendingConversation 
sendingService] + 94 
ChatKit'-[CKPendingConversation sendingService] + 94: 
-> O0x2b5f02c2: cbnz rO, Ox2b5f032c Poc 
[CKPendingConversation sendingService] + 200 
Ox2b5f02c4: movw ro, #35464 
Ox2b5f02c8: movt ro, #2535 


Ox2b5fO02cc: add rO, pc 
(lldb) p $rO 
(unsigned int) $13 - 341691792 
(1ldb) ni 
Process 14235 stopped 
* thread #1: tid = 0x379b, Ox2b5f032e ChatKit' - 
[CKPendingConversation sendingService] + 202, queue = 
'com.apple.main-thread, stop reason - instruction step over 
frame #0: Ox2b5f032e ChatKit -[CKPendingConversation 
sendingService] + 202 
ChatKit'-[CKPendingConversation sendingService] + 202: 
-> 0x2b5f032e: pop ir4, r5, r7, pc} 
ChatKit'-[CKPendingConversation 
refreshStatusForAddresses:withCompletionBlock:]: 
Ox2b5f0330: push fr4, r5, r6, r7, 1r} 
0x2b5f0332: add r7, sp, #12 
Ox2b5f0334:  push.w (r8, r10, rit} 


FERITE ue TU BOL T e AEA 
次 条 件 跳 转 ， 分 别 是 CBZ、CBZ 和 CBNZ， 而 此 时 
的 RO 分 别 是 0、341691792 和 341691792， 由 此 可 
知 进程 的 执行 流程 是 绿 线 、 红 线 、 赣 线 、 绿 线 ， 
如 图 10-21 所 示 。 


fs, Graph overview 


AU: idle Down Disk: 99GB 


图 10-21 进程 的 执行 流程 


那么 [CKPendingConversation sendingService] 
的 值 实 际 来 目 [CKPendingConversation 
composeSendingService]， 它 是 五 重 数 据 产 ， 没 问 


TE? 现在 ， 在 IDA 中 定位 到 了 新 的 函数 (如 图 
10-22 所 示 ) ， 继 续 分 析 。 


; CKPendingConversation ~ (id)composeSendingService 


; id _ cdecl -[CKPendingConversation composeSendingService] (stru 
. CKPend ron iti secar rg conposeSendingServi 
MOV Rl, #(_OBJC_IVAR_$ CKPendingConversation. compose 
PC ; IMService * composeSendingService; 
; IMService * composeSendingService; 


BX 
; End of function -[CKPendingConversation composeSendingService] 


图 10-22 [CKPendingConversation 


composeSendingService] 


很 明显 ，[CKPendingConversation 
composeSendingService] 只 是 读 取 了 实例 变量 
_composeSendingService 的 值 ， 也 束 是 说 ， 
_composeSendingService 是 六 重 数 据 产 。 既 然 如 
此 ， 我 们 只 要 找到 写 入 此 实例 变量 的 位 置 ， 束 找 
到 了 七 重 数据 源 了 。 


单 击 
ek. a 
eSendingService， 让 光标 俘 留 在 其 上 ， 然 后 控 
下 “x”， 打 开 此 变量 的 xrefs 窗 口 ， 如 图 10-23 所 


一 -一 人 


AN? 


在 这 里 ， 显 式 调 用 _composeSendingService 的 
正好 是 一 个 getter 和 一 个 setter， 因 此 
composeSendingService 很 可 能 是 一 个 property， 打 
JF CKPendingConversation.h2KZyuE— F, 20A410- 
24 所 示 。 


E xrets to OBJC IVAR. $ CKPendingConversation. composeSendingService 
Toxt 
ID C PendngConversation composeSendingServ e] \ 


R1. 4( OBJC 
R1, PC ;IMService * . 
R1, [R1]; IMService * composet 
R1, /( OBJC IVAR $ CKPend 
R1, PC ;IMService * compose! 
R1, [R1]; IMService *_compose£ 
_ objc2 ivar < OBJC IVAR $ CKPendingC 


$ ervice * composeSendingService; 
IMService *_composeSendingService; 
R1] 


; End of function -[CKPendingConversation composeSendingService] 


[10-23 ”查看 交叉 引用 


11 @interface CKPendingConversation : CKConversation 
12 f 

13 BOOL . noAvailableServices; 

14 IMService * previousSendingService; 


15 IMService * composeSendingService; 

16 } 

17 

18 Gproperty(nonatomic) IMService *composeSendingService; 
19 &property(nonatomic) IMService *previousSendingService; 


图 10-24 CKPendingConversation.h 


在 Objective-C 中 ， 对 property 的 写 操 作 一 般 是 
通过 setter 完 成 的 ， 那 么 要 寻找 七 重 数 据 产 ， 束 要 


TE [CK PendingConversation 
setComposeSendingService:] 上 下 一 个 断 点 ， 然 后 
得 看 其 调用 着 的 情况 。 操 作 访 程 跟前 面 完全 一 
样 ， 先 重新 输入 地 址 ， 然 后 在 


[CKPendingConversation 
setComposeSendingService:] 的 开始 处 下 一 个 断 
A, BRAATEN CHI retum”, MAEA, W 
gs 


Process 30928 stopped 
* thread #1: tid = 0x78d0, Ox30b3665c ChatKit' - 
[CKPendingConversation setComposeSendingService:], queue = 
'com.apple.main-thread, stop reason = breakpoint 1.1 
frame #0: Ox30b3665c ChatKit'-[CKPendingConversation 
setComposeSendingService:] 
ChatKit'-[CKPendingConversation setComposeSendingService: |: 
-> 0x30b3665c: movw ri, #41004 
0x30b36660:  movt ri, #2535 
0x30b36664: add ri, pc 
0x30b36666: ldr r1i, [r1] 
(1ldb) p/x $1r 
(unsigned int) $0 = 0x30b3656d 


用 这 里 的 LR 减 去 ChatKit 的 ASLR 偏 移 得 到 
0x2698456D， 得 出 其 仿 移 前 的 值 。 再 在 IDA 中 跳 
到 这 个 值 所 在 的 地 址 ， 如 图 10-25 所 示 。 


Rl, $(:lowerl6:(selRef setComposeSendingSe 
R2, R6 


R1, ne setComposeSendingSe 
RO, [R4,f0x14 

Rl, PC ; selRef .setComposeSendingService 
R1, [R1] ; "setComposeSendingService: 

 objc msgSend 


410-25 “” 跳 转 到 ChatKit 中 的 0x2698456D 


[CKPendingConversation 
setComposeSendingService:] 的 参数 R2 束 是 七 重 数 
据 源 。R2 来 自 R6， 因 此 R6 是 八重 数据 源 。 再 往 上 
看 看 R6 是 什么 ， 如 图 10-26 所 示 。 


sub 26984530 


var 18= -0x18 


{R4-R7,LR} 
#0xC 


$(selRef composeSendingService -~ 
RO 


PC ; selRef composeSendingService 
I -—— 


上 composeSendingService" 
objec | msgSend 
loc 269845B0 


图 10-26 SFR ILE Aa 


R6 来 目 R1， 可 见 R1 十 九重 效 据 源 。 那 么 R1 
又 是 哪里 来 的 ? 因为 现在 位 于 sub_26984530 的 内 
部 ， 而 R1 没 有 人 被 赋值 整 直 接 取 值 了 ， 说 明 R1 来 目 
sub_26984530 的 调用 着 ， 对 吧 ? 那 束 去 看 看 
sub_26984530 的 交叉 引用 信息 ， 寻 找 它 的 调用 者 
言 息 ， 如 图 10-27 所 示 。 


(| xrefs to sub, 26984530 


-[CKPendingConversation refreshComposeSendingServiceForAddresses:withCompletionBlock:]424 
-[CKPendingConversation refreshComposeSendingServiceForAddresses :withCompletionBlock:}+34 


图 10-27 ”查看 交叉 引用 


刷新 发 送 服务 ?” ANAFAA RRR! F 
图 10-28 中 所 示 的 [CKPendingConversation 
refreshComposeSendingServiceForAddresses:withCo 
mpletionBlock:] #4—#€@, sub 26984530HH f= 
refreshStatusForA ddresses:withCompletionBlock:#’J 
第 二 个 参数 ， 即 completionBlock， 如 图 10-28 所 


7N’? 


这 里 虽然 显 式 用 到 了 sub 26984530, (AR 
作为 参数 传递 给 objc_msgSend 的 ， 并 没有 直接 调 
FA oc ABZ EN Val FS a EIRENE? 这 个 套路 表面 


已 经 反复 演练 过 了 : 重新 输入 地 址 ， 在 
sub_26984530 的 开始 处 下 断 点 ， 点 击 键盘 上 
的 “returmm”， 触 发 基点， 如 下 : 


PC ; sub 26984530 
[SP, #0x24+var_ 20] 
#0 


[SP,#0x24+var_1C} 

[R12] ; "refreshStatusForAddresses:withCompletio"... 
[SP, #0x24+var 18] 

[SP, #0x24+var 14] 

[SP, #0x24+var 10] 

[SP, #0x24+var C] 

P 


_objc_msgSend 


4410-28 [CKPendingConversation 
refreshComposeSendingServiceForAddresses:withCo 


mpletionBlock: ] 


Process 30928 stopped 
* thread #1: tid = 0x78d0, 0Ox30b36530 ChatKit'  86- 
[CKPendingConversation 
refreshComposeSendingServiceForAddresses:withCompletionBlock 
:] block invoke, queue = 'com.apple.main-thread, stop reason 
- breakpoint 6.1 
frame 40: 0x30b36530 ChatKit'  86-[CKPendingConversation 

refreshComposeSendingServiceForAddresses:withCompletionBlock 
:] block invoke 
ChatKit __86-[CKPendingConversation 
refreshComposeSendingServiceForAddresses:withCompletionBlock 
:] block invoke: 
-» 0x30b36530: push ir4, r5, r6, r7, 1r} 

0x30b36532: add r7, sp, #12 

0x30b36534: push.w (r8, r10} 


0x30b36538: sub sp, #4 
(lldb) p/x $1r 
(unsigned int) $38 = 0x30b364bb 


LR 偏 移 前 的 值 是 0x30b364bb- 
0xa1b2000=0x269844BB ° 定位 到 IDA 中 ， 如 图 10- 


29 所 示 。 


[RO, #0xC] 
R5 


R4 
[ 


SP,fOxl4tvar 14] 


SP, SP, #4 
R8, [SP*OxlO*tvar 10] ,#4 
(RA-R7,PC) 

; End of function sub 26984444 


图 10-29 sub 26984530 的 调用 者 


可 见 ，sub_26984530 并 没有 被 显 式 调用 ， 而 
是 在 sub_26984444 内 部 把 函数 的 地 址 存放 到 了 R6 
中 ， 然 后 跳 转 过 去 隐 式 调用 。 那 么 目 然 ， 九 重 数 
据 源 就 来 自 于 sub_26984444， 再 往 上 看 看 它 的 来 
源 ， 如 图 10-30 所 示 。 


f iMessageService - 0x26984474) ; selRef iMessageService 
Ref IMServiceImpl - 0x26984476) ; classRef IMServiceImpl 
lRef iMessageService 
assRef .IMServiceImpl 

"iMessageService" 

OBJC CLASS $ IMServicelImpl 
4 


es msgSend 
R1, RO 


RO, [R6,#0x14] 
RO, loc 269844BA 


图 10-30 “寻找 十 重 数据 源 (1) 


这 个 subroutine 内 部 进行 了 多 次 判断 ， 才 决定 


是 把 [IMServiceImpl smsService] 还 是 把 


[IMServiceImpl iMessageService] 赋 给 R1。 我 们 看 
看 判断 条 件 是 什么 (如 图 10-31 所 示 ) ° 


sub 26984444 


r Ic rl6:(classRef IMServicelImpl ~ 0x2698448A)) 
R 


; T :(c "x- sRef IMServiceImpl - 0x2698448A)) 
"Cla thy c 1 


d 180] OBJC Zane 
loc 26984498 


图 10-31 ”寻找 十 重 数据 源 (2) 


当 R0 为 2 时 ，[IMServiceImpl iMessageService] 
ETEA, DITARI, AHE 
0, MTER vie [IMServicelmpl smsService], 
否则 是 [IMServiceImpl iMessageService] ° HIH? 
码 表 示 如 下 : 


- (BOOL)supportIMessage 
{ 


if (RO == 2 || R1 != 0) return YES; 
return NO; 


也 就 是 说 ， 这 里 的 R0 与 R1 共 同 决定 十 重 数据 
源 的 值 ， 它 们 俩 共同 担当 起 了 十 一 重 数据 源 的 重 
任 ， 我 们 分 别称 它们 为 十 一 重 数据 源 A 和 十 一 重 
数据 源 B， 上 面 的 伪 代 码 也 可 以 写作 : 


- (BOOL)supportIMessage 
{ 


if (十 一 重 数据 源 A == 2 || 十 一 重 数据 源 B !- 0) return YES; 


return NO; 


问 到 图 10-31， 再 看 看 十 一 重 数据 源 是 哪里 来 
HJ———RO0?K H T *UXTB.W R0,R8”。 


ARM Compiler toolchain Assembler Reference 


Home > ARM and Thumb Instructions > UXTB 


Zero extend Byte. Extends an 8-bit value to a 32-bit value. 


Y Syntax 
UXTB{cond} {Rd}, Rm {,rotation} 
where: 
cond 
is an optional condition code. 
Rd 
is the destination register. 
Rm 


is the register holding the value to extend. 


410-32 UXTB 的 作用 


依 图 10-32 所 示 的 ARM 官 方 文档 可 知 ，UXTB 
的 作用 是 给 R8 中 存放 的 8 位 数值 高 位 填充 0， 将 其 
扩展 到 32 位 ， 然 后 放 到 R0 里 去 (R0 是 32 位 寄存 
器 ) ， 也 就 是 说 ，R0 来 自 于 R8，R8 是 十 二 重 数据 
源 A。 而 arg_0=0x8，R8=*(R7+arg_0) =* 
(R7+0x8)，R7=SP+0xc， 因 此 R8=*(SP+0x14)， 即 


*(SP--0x14)z&-F — EZRA ° *(SP+0x14) X zi BI 
里 来 的 呢 ? EDERT EW, BUXECLDR.w 
R8,[R7,#8]” 之 前 ， 一 定 有 一 条 指令 往 *(SP+0x14) 
写 了 数据 ， 对 吧 ? 那里 就 是 十 四 重 数据 源 A 的 所 
在 之 处 ， 我 们 要 倒 推 回去 找到 这 个 往 *(SP+0x14) 
写 数据 的 地 方 。 


但 是 事情 远 没 有 说 起 来 这 么 简单 一 一 因 为 
PUSH 和 POP 等 操作 会 改变 SP 的 值 ， 所 以 现在 的 * 
(SP+0x14) 在 其 他 的 指令 中 可 能 会 由 于 SP 发 生变 化 
而 变 成 *(SP’+offset)， 而 offset 的 值 现在 还 没 法 确 
定 ! 这 下 了 于 刻 烦 了 ， 我 们 必须 找 出 “LDR.W R8, 
[R7,#8]” 之 前 每 一 个 往 *(SP?+offset) 写 数据 的 操 
作 ， 然 后 检查 (SP+0x14) 和 (SP’+offset) 是 否 相 等 。 
而 SP 的 变化 又 比较 频 宫 ， 这 束 成 了 难 扣 。 请 大 家 


一 定 跟 某 了 ， 现 在 ， 要 从 “LDR.W R8,[R7,#8] FF 
始 ， 倒 推荐 检查 每 一 个 往 *(SP’+offset) 写 数据 的 探 
VE ° 


在 Sub 26984444, *LDR.W R8,[R7,#8]” Bi JA 
条 指令 全 都 跟 SP 相 关 ， 把 当前 指令 还 未 执行 时 SP 
的 值 用 SP1~SP4 标 注 到 指令 上 ， 如 图 10-33 所 示 。 


sub 26984444 


SP1 {R4-R7,LR} 
R7, SP, #0xc 


图 10-33 ”标记 不 同 的 SP 


当 “PUSH{R4-R7,LR}” 还 未 执行 时 ，SP 的 值 
是 SP1， 执 行 之 后 变 成 SP2， 可 以 理解 吧 ? 下 面 一 
条 条 指令 推导 一 下 这 里 的 SP 是 怎么 变化 的 : 


*PUSH(R4-R7Z,LR)"ÉRA ^ R5 ^ R6 ^ R7ZTUILR 
FESS at Fas AR, BET SPESE th 32 0L Bla 

, MARMA REBRA, KE, SP2=SP1- 
5*0x4=SP1-0x14; “ADD R7,SP,#0xC”, BẸ 
R7=SP2+0xc， 没 有 影响 SP 的 值 ; “STR.W R8, 
[SP#0xC+var_10]!” 中 的 var_10=-0x10， 因 此 这 条 
指令 等 价 于 “STR.W R8,[SP#-4]!”， 即 *(SP2- 
0x4) =R8， 且 此 条 指令 仍 未 影响 SP 的 值 ; “SUB 
SP,SP,#4”， 即 SP3=SP2-0x4。 按 照 这 种 表达 方 
式 ， 十 三 重 数据 源 A 是 *(SP2+0xl4)， 在 通 
过 “LDR.W R8,[R7,#8]”* 取 值 时 尚未 在 


sub_26984444 内 赋值 ， 因 此 *(SP2+0x14) 的 值 一 定 
来 自 sub_26984444 的 调用 者 。 类 似 地 ， 在 
sub_26984444 内 部 R1 示 被 周 值 即 已 取 值 ， 它 也 一 
定 来 目 sub_26984444 的 调用 者 ， 可 以 理解 吗 ? 如 
朱 还 不 理解 ， 驶 把 这 一 段 重 看 一 志 ， 一 定 要 移 想 
HAE, PRARGER PRANK ° 


好 了 ， 十 三 重 数据 源 A 和 十 一 重 数据 源 B 都 来 
目 sub_26984444 有 的 调用 肴 ， 下 一 步 的 任务 已 经 很 
明确 了 : 去 sub_26984444 的 调用 者 寻找 十 四 重 数 
据 源 A 和 十 二 重 数据 源 B 。 


重 输 地 址 ， 在 sub_26984444 的 开始 处 下 断 
上 点， 点 击 键 盘 上 的 “return”， 触 发 晰 点 ， 如 下 : 


Process 30928 stopped 

* thread #1: tid = 0x78d0, Ox30b36444 ChatKit'  71- 
[CKPendingConversation 
refreshStatusForAddresses:withCompletionBlock:] block invoke 


, queue = 'com.apple.main-thread, stop reason = breakpoint 
7.1 

frame 40: Ox30b36444 ChatKit ~__71-[CKPendingConversation 
refreshStatusForAddresses:withCompletionBlock:] block invoke 
ChatKit  71-[CKPendingConversation 
refreshStatusForAddresses:withCompletionBlock:] block invoke 


-» 0x30b36444: push ir4, r5, r6, r7, 1r} 
0x30b36446: add r7, sp, #12 
0x30b36448: str rs, [sp, #-4]! 
0x30b3644c: sub sp, #4 

(lldb) p/x $1r 

(unsigned int) $39 = 0x331f0d75 


LR (i Bil B) (EL 2 0x331f0d75— 
0xalb2000=0x2903ED75， 并 不 在 ChatKit 中 。 这 时 
候 该 怎么 定位 0x2903ED75 位 于 哪 一 个 模块 呢 ? 方 
法 之 前 也 说 过 了 ， 那 吏 是 在 sub_26984444 的 末尾 
下 断 点 ， 然 后 “ni 到 调用 者 的 内 部 ， 看 看 它 在 哪 
MRR T, WF: 


Process 30928 stopped 
* thread #1: tid = 0x78d0, Ox30b364cO ChatKit`_ 71- 
[CKPendingConversation 
refreshStatusForAddresses:withCompletionBlock:] block invoke 
* 124, queue - 'com.apple.main-thread, stop reason - 
breakpoint 8.1 

frame 40: Ox30b364cO Chatkit  71-[CKPendingConversation 
refreshStatusForAddresses:withCompletionBlock:] block invoke 
+ 124 


ChatKit  71-[CKPendingConversation 
refreshStatusForAddresses:withCompletionBlock:] block invoke 
+ 124: 
-> 0x30b364cO: pop ir4, r5, r6, r7, pc} 
0x30b364c2: nop 
ChatKit copy helper block : 
0x30b364c4: ldr ri, [ri, #20] 
Ox30b364c6: adds ro, #20 
(l1ldb) ni 
Process 30928 stopped 
* thread #1: tid = 0x78d0, Ox331f0d74 
IMCore^ A. lldb unnamed function425$$1MCore + 1360, queue = 
'com.apple.main-thread, stop reason - instruction step over 
frame #0: Ox331f0d74 
IMCore^ . lldb unnamed function425$$1MCore + 1360 
IMCore . lldb unnamed function425$$1MCore + 1360: 
-> 0x331f0d74: movw ro, #26972 
Ox331f0d78:  movt ro, #2081 
Ox331fOd7c: add ro; pc 
Ox331fOd7e:  ldr ri, [r0] 


我 们 来 到 了 IMCore 的 内 部 。 刚 才 已 经 计算 出 
了 sub_26984444 执 行 完 成 后 的 返回 地 址 十 
0x2903ED75， 因 此 把 IMCore 拖 进 IDA， 待 分 析 完 
后 跳 转 到 0x2903ED75， 如 图 10-34 所 示 。 


R3, [SP,fOxAB*var 98] 


4 
Rl, [SP, #0xA8+var A8] 
R1, R5 


loc 2903ED74 
$(selRef release - 0x2903ED80) ; 


; selRef release 
"release" 


_objc_msgSend 
R10, [SP,fOxAS8*var 84] 
loc 2903 


图 10-34 sub 269844449) Ae 


又 是 一 个 来 自 sub_2903E824 的 隐 式 调用 ， 且 
它 上 面 的 4 条 指令 又 有 2 条 跟 SP 相 关 。 为 方便 阅 
读 ， 下 面 把 “BLX R6” 前 后 两 个 模块 的 指令 给 拼 到 
一 张 图 里 ， 拼 接 前 后 的 效果 如 图 10-35 和 图 10-36 
Dos 


[SP, #0xA8+var 98] 

IMCore ž 

[SP, #0xA8+var_A8] 
R5 


; Attributes: bp-based frame 
sub 26984444 

var 14= -Oxl4 

var 10-7 -0x10 


ChatKit {R4-R7,LR} 
R7 


SP, #0xC 
[SP,fOxC*var 10]! 
#4 


SP, 
[R7 ,#arg 0] 
RO 


RO, #2 
loc 2698447A 


图 10-35 “拼接 前 


这 里 先 寻 找 十 四 重 数据 源 A， 它 被 写 入 了 * 
(SP2+0x14)， 还 记得 吗 ? 模仿 上 面 的 步骤 ， 把 


loc 2903ED6A 里 的 SP 标号 ， 如 图 10-37 所 示 。 


然后 从 loc_2903ED6A 的 第 一 条 指令 开始 ， 看 
看 这 里 的 SP 是 怎么 变化 的 : 


IMCore R = [SP, #0xA8+var 98] 


R1, fm， #0xA8+var A8] 
R1, R5 


(RA-R7,LR) 
SP, #0xC 
[SP,fOxC*var 10]! 
SP, #4 
: [R7,farg 0] 
ChatKit RO 
R3 
R2 
R8 


RO, #2 
loc 2698447A 


图 10-36 ”拼接 后 


一 
R1, [SP,#0xA8+var A8] 
R1, R5 


(R4-R7,LR) 
7, SP, #0xc 
[SP,fOxC*var 10]! 
SP, #4 
. [R7,#arg 0] 
ChatKit RO 
R3 


R8 
, 82 
loc 2698447A 


图 10-37 标记 不 同 的 SP 


“LDR R3,[SP,#0xA8+var_98]”, BR3=* 
(SP1+0xA8+var 98)， 而 var_98=-0x98 (如 图 10-38 
所 示 ) 。 


sub 2903E824 


var A87 -OxAB8 
-OxAO 
-0x9C 
-0x98 
-0x94 
-0x90 
-0x8C 
-0x88 
-0x84 
-0x80 
-0x7C 
-0x78 
-0x74 
-0x5C 
-Ox1C 


图 10-38 sub 2903e824 


因此 R3=*(SP1+0x10)， 且 本 条 指令 不 影响 SP 
的 值 ; “MOV R2,R8” 跟 SP 无 关 ; “STR R1, 
[SP,#0xA8+var_A8]” F ivar_A8=-0xA8, RẸ 
*SP1=R1， 且 本 条 指令 也 不 影响 SP 的 值 ; “MOV 
R1;,R5” 跟 SP 无 天。 这 么 多 SP 可 能 会 把 你 绕 军 ， 有 再 
梳理 一 下 其 中 的 逻辑 : 


目的 : 找到 写 入 *(SP2+0x14) 的 地 方 
因为 SP2=SP1-0x14 
H*SP1=R1 


所 以 ，“STR R1,[SP#0xA8+var_A8]” 就 是 写 

入 *(SP2+0x14) 的 地 方 ， 十 四 重 数据 产 A 束 是 这 条 
和 令 中 的 R11 而 十 二 重 数据 源 B， 显 然 就 

是 “MOV R1,R5” 中 的 R5。 从 十 三 重 数据 源 A 到 十 
四 重 数据 源 A， 从 十 一 重 数据 源 B 到 十 二 重 数 据 源 
B 的 退 踪 跨 模 块 ， 逻 加 比较 复杂 ， 用 图 10-39 来 展 
示 会 较为 直观 ， 建 议 大 家 对 照 着 这 张 图 ， 把 这 个 
跨 模 块 的 地 方 弄 清楚 。 


在 继续 分 析 之 前 ， 先 用 LLDB 来 验证 一 下 到 
此 为 止 的 判断 : 重 输 地 址 ， 然 后 在 “STR RI, 


[SP#HOxA8+var_A8]” 上 设置 断 点 ， 打 印 R1， 即 十 
四 重 数据 源 A; 执行 ni” 命令 到 “MOV R1,R5”， 打 
印 R5， 即 十 二 重 数据 源 B; 接着 要 经 历 一 次 模块 
切换 ， 执 行 “si 命 令 到 *CMP R02", TTFIRO, B 
十 三 重 数 据 产 A; 执行 “ni 六 命令 到 “TST.W 
R1,#0xFF”， 打 印 R1， 即 十 一 重 数据 源 B。 点 

击 “return”， 触 发 朵 点 后 ， 看 看 它们 的 值 是 不 是 像 
图 10-39 里 示意 的 那样 两 两 相等 ， 如 下 : 


sub 26984444 


loc 2903ED6A !MCore 
LDR R3, [SP,tTOxAB*var 
(RA-R7 , LR) 
R7, SP, #0xc 
, [SP,fOxC*var 10]! 
P, $4 


R8 
5 
R8 
R6, 
R4 
R5 
RO 


04712 
loc 2698447A 


x 
:upperl6:(classRef IMServico 
PC ; classRef IMSorviceImpl 
RO, [R0] ; OBJC C S $ IMServic 
loc 26984498 


图 10-39 ”数据 产 间 的 天 系 


(lldb) br s -a 0x30230D6E 
Process 37477 stopped 
* thread Z1: tid - 0x9265, 0x30230d6e 
IMCore . lldb unnamed function425$$1MCore + 1354, queue = 
'com.apple.main-thread, stop reason - breakpoint 11.1 
frame #0: Ox30230d6e 
IMCore . lldb unnamed function425$$1MCore + 1354 
IMCore . lldb unnamed function425$$1IMCore + 1354: 
-» 0x30230d6e: str ri, [sp] 
0x30230d70: mov r1, r5 
0x30230d72:  blx r6 
0x30230d74: movw rO, #26972 
(lldb) p $ri 
(unsigned int) $27 = 0 
(lldb) ni 
Process 37477 stopped 
* thread #1: tid = 0x9265, 0x30230d70 
IMCore^ A. lldb unnamed function425$$1MCore + 1356, queue = 
'com.apple.main-thread, stop reason - instruction step over 
frame #0: 0x30230d70 
IMCore . lldb unnamed function425$$1MCore + 1356 
IMCore^ . lldb unnamed function425$$1MCore + 1356: 
-» 0x30230d70: mov ri, r5 
0x30230d72:  blx r6 
0x30230d74: movw rO, #26972 
0x30230d78:  movt rO, #2081 
(1ldb) p $r5 
(unsigned int) $28 = 1 
(lldb) ni 
Process 37477 stopped 
* thread #1: tid = 0x9265, 0x30230d72 
IMCore^ A. lldb unnamed function425$$1MCore + 1358, queue = 
'com.apple.main-thread, stop reason - instruction step over 
frame #0: 0x30230d72 
IMCore^ . lldb unnamed function425$$1MCore + 1358 
IMCore^ . lldb unnamed function425$$1MCore + 1358: 
-> 0x30230d72: blx r6 
0x30230d74: movw rO, #26972 
0x30230d78: movt ro, #2081 
0x30230d7c: add rO, pc 
(lldb) si 
Process 37477 stopped 
* thread #1: tid = 0x9265, Ox2db76444 ChatKit  71- 
[CKPendingConversation 
refreshStatusForAddresses:withCompletionBlock:] block invoke 


, queue - 'com.apple.main-thread, stop reason - instruction 
step into 

frame 40: Ox2db76444 ChatKit ~__71-[CKPendingConversation 
refreshStatusForAddresses:withCompletionBlock:] block invoke 
ChatKit  71-[CKPendingConversation 
refreshStatusForAddresses:withCompletionBlock:] block invoke 


-> 0x2db76444: push ir4, r5, r6, r7, 1r} 

0x2db76446: add r7, sp, #12 

0Ox2db76448: str r8, [sp, £-4]! 

Ox2db7644c: sub sp, #4 
(l1ldb) ni 
Process 37477 stopped 
* thread #1: tid = 0x9265, Ox2db7645c ChatKit  71- 
[CKPendingConversation 
refreshStatusForAddresses:withCompletionBlock:] block invoke 
* 24, queue - 'com.apple.main-thread, stop reason - 
instruction step over 

frame 40: Ox2db7645c ChatKit ~__71-[CKPendingConversation 

refreshStatusForAddresses:withCompletionBlock:] block invoke 
+ 24 
ChatKit __71-[CKPendingConversation 
refreshStatusForAddresses:withCompletionBlock:] block invoke 
+ 24: 
-> 0x2db7645c: cmp ro, #2 

Ox2db7645e: bne 0x2db7647a ; — T1- 
[CKPendingConversation 
refreshStatusForAddresses:withCompletionBlock:] block invoke 
+ 54 

Ox2db76460: movw ro, #19376 

0Ox2db76464:  movt ro, #2535 
(1ldb) p $ro 
(unsigned int) $29 - O 
(lldb) ni 
Process 37477 stopped 
* thread #1: tid = 0x9265, Ox2db7647e ChatKit'  71- 
[CKPendingConversation 
refreshStatusForAddresses:withCompletionBlock:] block invoke 
* 58, queue - 'com.apple.main-thread, stop reason - 
instruction step over 

frame #0: Ox2db7647e ChatKit ~__71-[CKPendingConversation 

refreshStatusForAddresses:withCompletionBlock:] block invoke 
+ 58 


ChatKit  71-[CKPendingConversation 
refreshStatusForAddresses:withCompletionBlock:] block invoke 
+ 58: 
-> 0x2db7647e: tst.w ri, #255 

0x2db76482:  movt ro, #2535 

Ox2db76486: add ro, pc 

0x2db76488: ldr ro, [r0] 
(1ldb) p $r1 
(unsigned int) $30 - 1 


打印 结果 验证 了 分 析 结 果 ， 且 十 四 重 数据 源 
A 的 值 是 0， 十 二 重 数据 产 B 的 值 古 1° $ PREK 
力 集中 在 IMCore 上， 继续 寻找 十 五 重 数 据 源 A 和 
十 三 重 数 据 源 B， 先 从 前 者 下 手 。 


十 五 重 数据 源 A 已 经 直观 表现 在 了 图 10-40 
中 。 


R6, [RO,#0xC] | |LDR R6, [RO,$0xC] 
MOVS R1, $0 


, [SP,fTOxAB*var 98] 


R2, 
, [SP,TOxAB*var AB] 
R1, R5 


图 10-40 ”十 五 重 数据 源 A 


它 要 久 来 自 “MOVS R1,#1”， 要 久 来 
自 “MOYVS R1,#0”， 也 就 是 说 十 五 重 数 据 源 的 值 要 
么 是 0， 要 么 是 1。 事 情 变 得 有 意思 起 来 了 ..….. 


不 知道 大 家 有 没有 注意 到 ， 从 十 一 重 数据 源 
AF ia, AGRARE D EPki, RIT —32 
= 十 二 重 = 十 三 重 = 十 四 重 = 十 五 重 数据 源 A=0 或 1 。 
但 是 ， 我 们 之 前 分 析 的 伪 代 码 是 这 样 的 : 


- (BOOL)supportIMessage 
{ 


if (十 一 重 数据 源 A == 2 || 十 一 重 数据 源 B != 0) return YES; 


return NO; 


而 十 一 重 数据 兰 A 的 值 非 0 即 1， 征 不 可 能 等 
于 2 的 。 这 样 的 话 ， 数 据 源 A 已 经 没有 意义 了 ,不 
AE? 伪 代 码 可 以 改 成 : 


- (BOOL)supportIMessage 
{ 


if (十 一 重 数据 源 B != ©) return YES; 
return NO; 


EG, Bl DDE AEST = EAB 
上 来 ， 以 下 人 徐 称 十 三 重 数据 源 。 因 为 十 二 重 数据 
源 B 是 R5， 所 以 十 三 重 数据 源 一 定 馈 某 条 指令 写 
入 R5 了 ， 对 吧 ? 单 击 R5，IDA 会 贴心 地 帮 有 我 们 将 
其 标记 为 黄色 ， 方 便 从 大 量 的 汇编 代码 中 定位 
R5。 继 续 逆 向 ， 看 看 R5 是 什么 时 候 被 写 入 的 。 


当 向 上 寻找 十 三 重 数 据 源 ， 跟 踪 到 
loc 2903EAE0 时 ， 会 发 现 它 的 上 游 有 4 条 分 支 
(如 图 10-41 所 示 ) 。 


; "IMCOre" 
RO, $(:lowerl6:(cfstr Imcore - 0x2903EAEE)) 
1, #0 


R1, 
RO, #(:upperl6:(cfstr_Imcore - 0x2903EAEE)) ; “IMCore 
R PC ; "IMCOore" 


, , 
_MarcoShouldLogMadridLevel 
RO, $OxFF 
loc 2903EB36 


图 10-41 loc 2903EAEO0 


在 图 10-41 中 ， 从 无 到 右 的 3 条 分 文中 均 含 
有 “MOVS R5,#0” 的 操作 ， 但 这 跟 R5=1 的 结果 是 
矛盾 的 ， 因 此 loc_2903EAE0 一 定 是 经 由 最 右边 的 
那 一 条 线路 到 达 的 ， 十 三 重 数据 源 就 位 于 这 条 线 
路 上 ， 顺 着 这 条 线路 继续 向 上 寻找 R5 的 踩 影 。 


跟踪 到 loc_2903EA3E 时 ， 出 现 的 情况 似 曾 相 
识 。 它 的 上 游 虽 然 有 3 条 分 文 ， 但 左 1 和 左 2 分 文 均 
含有 “MOYVS R5,#0” 的 操作 〈 如 图 10-42 所 示 ) ， 
因此 可 以 直接 排除 。 


图 10-42 loc 2903EA3E 


'ERJSEEn Eve ALB 57 x, Bloc 2903E9C4; 
而 loc_2903E9C4 的 上 游 有 2 条 分 文 ， 其 中 均 合 
有 “MOVS R5,#12 的 操作 ， 那 么 进程 的 实际 执行 流 
程 是 从 这 2 条 分 文中 的 哪 一 条 到 达 loc_2903E9C4 的 
呢 ? 重 输 地 址 ， 在 2 个 分 文 的 跳 转 处 各 下 一 个 断 


AA. ATER LBJ^return", Ue e BT 

A4. IER in —AE 了。 这 里 的 操作 流程 笔者 就 
省 略 杯 了， 请 读 着 独立 完成 ， 相 信 在 简单 的 操作 
之 后 ， 你 也 会 发 现 ， 左 1 分 文才 是 进程 实际 执行 的 
流程 ， 即 图 10-43。 


R10, [SP,#0xA8t+var 84] 


R5, #1 
Rll, [SP,#O0xA8+var 88] 
loc 2903E9C4 


图 10-43” 左 1 分 支 


现在 ， 找 到 了 十 三 重 数据 产 ， 它 坪 单 量 1。 你 
Agee], tI BAe Hea, TUEZ 


据 产 还 存在 吗 ? 数据 产 的 线索 看 似 中 断 了 ， 下 一 
DIRE AID? RW ! 


在 刚才 的 代码 中 ， 我 们 看 到 了 几 处 “MOVS 
R5,#0” 的 操作 ， 而 十 三 重 数据 源 来 自 “MOVS 
R5,#1”， 看 似 数 据 产 是 党 量 ， 但 按照 程序 设计 的 
思想 ， 到 底 往 R5 里 写 0 还 是 写 1， 应 该 由 一 个 条 件 
判断 来 决定 ， 怠 像 下 面 的 伪 代 码 ; 


if (iMessageIsAvailable) R5 = 1; 
else R5 = 0; 


HRHESGSBIIDAZIUEEEXezR, Wake ÉA10-44PT7 
的 样子 。 


从 宏观 角度 来 讲 ， 其 实 这 个 条 件 判断 束 古 十 
MEZGE, MÆ? 相信 你 也 反应 过 来 了 ， 上 
ATT CRS LSE ice: 


R5 - iMessageIsAvailable; 


branch 


图 10-44” 伪 IDA 流 程 图 


弄 消 了 这 个 概念 ， 接 下 来 的 任务 束 古 继续 回 
W, TEER SCART, WARE A ANIA] o> 
BERSHS NRE, MEET CR Pe 


TFA, TOI Sa SCR TEE KI HERAUS UR ° 
到 图 10-45 所 示 的 代码 段 里 去 看 看 。 


如 果 分 支 走 了 左边 ，R5 是 有 可 能 被 置 0 的 。 
由 于 分 支 条 件 是 objc_msgSend 的 返回 值 ， 因 此 下 
TERE EB BUT ABI ZEIT AK, OIF: 


R1, [SP,#0xA8+var 9C] 
RO, #0x10 

SP, #0xA8+var_7C 
RO, [SP,fOxAB8*var A8] 


RO, R5 

R3, SP, #0xA8+var_5C 
 objc | msgSend 

R8, RO 

R8, $0 

loc 2903EBE2 


图 10-45 ^43 


Process 132234 Stopped 

* thread #1: tid = 0x2048a, 0x331f092e 

IMCore"^ . lldb unnamed function425$$1MCore + 266, queue = 
'com.apple.main-thread, stop reason - breakpoint 5.1 


frame #0: Ox331f092e 

IMCore . lldb unnamed function425$$1IMCore + 266 
IMCore^ | lldb unnamed function425$$1IMCore + 266: 
-> 0x331f092e: blx 0x332603b0 ; symbol stub for: 
objc msgSend 

0x331f0932: mov r8, ro 

Ox331f0934: cmp.w r8, #0 

0Ox331f0938: bne Ox331f08e2 
_  lldb unnamed function425$$1IMCore + 190 
(lldb) p (char *)$ri 
(char *) $6 = Ox2f7d81d9 
"countByEnumeratingWithState:objects:count:" 
(lldb) po $rO 
« NSArrayI 0x16706930>( 
mailto:snakeninnyQgmail.com 


) 


可 以 看 到 ， 征 一 个 对 收 件 人 队列 的 明 历 图 
效 ， 如 采 收 件 人 队列 不 为 至 ， 分 文 珑 会 走 石 边 。 
实际 上 收 件 人 队列 肯定 不 会 为 室 ， 因 此 这 个 分 文 
条 件 不 会 成 立 ， 类 似 于 已 弃 用 的 数据 产 A， 征 不 
BI EST SCH AEREE TRE- TILA E 
的 地 方 ， 如 图 10-46 所 示 。 


在 图 10-46 中 ，R11 和 R8 各 是 什么 ?在 IDA 里 
可 以 很 直观 地 看 到 ，R11 来 自 图 10-47。 


R11, Rll, #1 
R11, R8 
loc 2903EB8E6 


loc 2903EBE2 
MOV.W 


10-47 loc_2903e8e2 


R11 的 初始 值 是 0， 每 次 在 执行 “CMP 
R11,R8” 之 前 ，R11 都 递增 1。 这 么 看 起 来 ，R11 充 
当 了 计数 妖 的 作用 。“CMP” 执 行 了 减法 操作 ， 如 
有 末 产 生 借 位 ， 则 将 Carry 置 0， 否 则 Carry 置 1。 这 里 
的 分 支 指令 是 “BCC”，“CC” 代 表 “Carry Clear", 


也 就 是 Carry 位 为 0° Emm, WRR11-R8 E 
普 位 ， 即 R8 大 于 R11， 则 分 支 走 右边 ， 否 则 走 左 
边 。 我 们 看 看 R8 是 什么 ， 如 图 10-48 所 示 。 


, [RO] ; "countByEnumeratingWithState:objects:cou"... 
, 0x10 
, (SP, #0xA8+var_A8] 

R 


, R6 


 objc msgSend 
B, RO 


, 


图 10-48”R8 来 源 


R8 来 目 [INSArray 


countByEnumeratingWithState:objects:count:] ° Œ 
输 地 址 ， 下 断 点 ， 点 击 “return，” 看 看 NSArray 走 
什么 ， 如 下 : 


(lldb) br s -a 0x3023089C 
Breakpoint 2: where - 
IMCore^  lldb unnamed function425$$IMCore + 120, address = 
0x3023089c 
Process 102482 stopped 
* thread #1: tid = 0x19052, 0x3023089c 
IMCore^ . lldb unnamed function425$$1MCore + 120, queue = 
'com.apple.main-thread, stop reason - breakpoint 2.1 
frame #0: 0x3023089c 
IMCore . lldb unnamed function425$$1IMCore + 120 


IMCore^ . lldb unnamed function425$$1IMCore + 120: 
-> 0x3023089c: blx 0x302a03b0 ; symbol 
stub for: objc msgSend 

0x302308a0: mov r8, rO 

0x302308a2: cmp.w r8, #0 

0x302308a6: beq.w O0x302309c2 
.  lldb unnamed function425$$1MCore + 414 
(lldb) p (char *)$r1i 
(char *) $5 - 0x2c8181d9 
"countByEnumeratingWithState:objects:count:" 
(lldb) po $rO 
« NSArrayI 0x178d6b20>( 
mailto:snakeninnyQgmail.com 


) 


NSArray 走 收 件 人 队列 ， 因 此 R8 是 收 件 人 个 
数 ， 如 有 果 收 件 人 个 数 大 于 1， 在 第 一 次 执行 “CMP 
R11,R8” 时 R11 是 1， 则 R8 大 于 R11， 分 支 走 右 边 ， 
到 达 图 10-49 » 


RO, [SP,fOxAB*var 74] 
RO, [RO] 
RO, R10 


RO, R5 
_objc_enumerationMutation 
[SP, #OxA8+var_78] 

R6 


[RO,R11,LSL42] 
[SP, #0xA8+var 88] 
R4 
 objc msgSend 
RO, [SP,fOxAB-*var 80] 
R2, R4 


R1, [SP,fOxAB*var 94] 
 objc ms nd 

Rl, [SP,fOxAB*var 90] 
 objc msgSend 

RO, loc 2903E946 


410-49 ^43 


loc_2903E8E6 的 分 文 条 件 是 R0， 如 果 R0== 
则 走 左 边 ， 不 文 持 iMessage; 否则 走 右 边 ， 到 达 
图 10-50。 


图 10-50 的 分 支 条 件 仍 是 RO0， 如 果 R0==2 则 走 
左边 ， 不 文 持 iMessage; 否则 走 右 边 ， 回 到 图 10- 
46。 这 3 段 代码 循环 没有 更改 R8 的 值 ， 只 
loc_2903E8E6 最 下 面 的 R0!=0&&R0!=2， 图 10-46 
的 分 支 就 没有 意义 一 一 R11 一 直 递 增 ， 而 R8 不 
Be, jh Pop SC AMSTEL, 44h sc FFIMessage 
的 结论 ;也 就 是 说 ， 在 这 个 循环 里 ， 本 质 的 分 文 
条 件 是 R0 的 信 。 还 记得 我 们 刚刚 得 出 的 结论 吗 
一 一 “分 析 每 个 出 现 分 文 的 地 方 ， 如 果 它 的 不 同 分 

会 往 R5 里 写 不 同 的 值 ， 束 要 搞 消 楚 分 文 条 件 是 
什么 ， 而 这 个 分 文 条 件 驶 是 我 们 要 找 的 数据 
Ui e "一 一 R0 怠 是 十 四 重 数据 源 。 


CMP RO, #2 
loc 2903E9CA 


410-50 4x 


下 面 用 LLDB 看 看 这 里 的 儿 个 objc_msgSend 都 
ÆTTA, ROER AR, WF: 


Process 154446 stopped 
* thread #1: tid = 0x25b4e, 0x331f0900 
IMCore^ . lldb unnamed function425$$1IMCore + 220, queue = 
'com.apple.main-thread, stop reason - breakpoint 1.1 
frame 40: Ox331f0900 
IMCore^ . lldb unnamed function425$$1MCore + 220 
IMCore^ . lldb unnamed function425$$1IMCore + 220: 
-> 0x331f0900: b1x 0x332603b0 ; symbol 
stub for: objc msgSend 
Ox331f0904: ldr ro, [sp, #40] 
Ox331f0906: mov r2, r4 
Ox331f0908: ldr ri, [sp, #20] 
(lldb) p (char *)$r1 
(char *) $7 = Ox2f7d897a "removeObject:" 
(lldb) po $rO 
«  NSArrayM 0x170ec120»( 
mailto:snakeninnyQgmail.com 


) 

(lldb) po $r2 

mailto: snakeninny@gmail.com 
(l1ldb) ni 


Process 154446 stopped 
* thread #1: tid = 0x25b4e, 0x331f090a 
IMCore^ . lldb unnamed function425$$1MCore + 230, queue = 
'com.apple.main-thread, stop reason - instruction step over 
frame 40: Ox331f090a 
IMCore^ . lldb unnamed function425$$1MCore + 230 
IMCore^ . lldb unnamed function425$$1IMCore + 230: 
-> 0x331f090a: blx 0x332603b0 ; symbol 
stub for: objc msgSend 
Ox331f090e: ldr ri, [sp, #24] 


Ox331f0910:  blx 0x332603b0 ; symbol 
stub for: objc msgSend 
Ox331f0914: cbz ro, 0x331f0946 ; 


_  lldb unnamed function425$$1IMCore + 290 
(lldb) p (char *)$ri 

(char *) $10 = Ox2f7d8113 "valueForKey:" 
(lldb) po $r2 

mailto: snakeninny@gmail.com 

(lldb) po $ro 

{ 


"mailto:snakeninny@gmail.com" = 1; 


} 

(lldb) po [$r0 class] 

. NSCFDictionary 

(lldb) ni 

Process 154446 stopped 

* thread #1: tid = 0x25b4e, Ox331f0910 

IMCore . lldb unnamed function425$$1MCore + 236, queue = 

'com.apple.main-thread, stop reason - instruction step over 
frame #0: Ox331f0910 

IMCore^ . lldb unnamed function425$$1IMCore + 236 

IMCore^ . lldb unnamed function425$$1IMCore + 236: 


-> 0x331f0910: b1x 0x332603b0 ; symbol 
stub for: objc msgSend 
Ox331f0914: cbz ro, 0x331f0946 ; 


_ lldb unnamed function425$$1MCore + 290 
Ox331f0916: cmp ro, #2 
Ox331f0918: beq 0x331f09ca ; 

.  lldb unnamed function425$$1MCore + 422 

(lldb) p (char *)$r1 

(char *) $14 = Ox2f7de6f3 "integerValue" 

(lldb) po $ro 

1 


(lldb) po [$r0 class] 
. NScFNumber 
(1ldb) c 


将 这 3 个 objc_msgSend 还 原 成 ObjC 函 数 ， 分 别 
是 [NSArray 
removeObject:@"mailto:snakeninny@gmail.com"] 

* [NSDictionary valueForKey: 
@"mailto:snakeninny@gmail.com"]#[NSNumber 
integerValue]， 其 中 第 二 个 objc_msgSend 的 R0 值 得 
关注 ， 正 是 它 (NSDictionary) 中 包含 的 键 值 对 ， 
决定 了 十 四 重 数 据 产 ， 因 此 ， 这 个 NSDictionary 整 
是 十 五 重 数据 源 。 由 图 10-49 可 知 ， 它 来 自 于 
[SPB#0xA8+var_80]， 因 此 [SP,#0xA8+var_80] 是 十 
六 重 数 据 源 。 接 下 来 的 套路 已 经 做 过 好 几 通 了 : 

把 光标 放 在 var_80 上， 然后 按 下 “x”， 看 看 它 的 交 
又 引用 ， 如 图 10-51 所 示 。 


sub_2903E824+E 
sub_2903E824+E0 
sub_2903E824+178 
sub_2903E824:loc_2... 
sub_2903E824+1FC 


图 10-51 查看 交叉 引用 


可 以 看 到 ， 只 有 一 处 指令 写 入 了 这 个 地 址 ， 
双击 这 条 指令 ， 直 接 跳 转 到 了 sub_2903E824 的 头 
部 ， 如 图 10-52 所 示 。 


sub 2903E824 


var A8= -OxAB 
-OxAO 
-0x9C 
-0x98 
-0x94 
-0x90 
-0x8C 
-0x88 
-0x84 
-0x80 
-0x7C 
-0x78 
-0x74 
-0x5C 
-Oxic 


< s 4 
so m p 
K h h 
un @ © 
a o o 
li i] Il 


var_A0= 
var 9C* 
var 98-7 
var 94- 
var 8C- 
var 88= 
var_84= 
var_7C= 
var_78= 
var_74= 


R7, SP, #0xC 
{R8,R10,R11} 

SP, SP, #0x90 

R5, R1 

R2, [SP,fOxAB*var 98] 
R5, [SP,fOxAB*var 80] 
RO, [SP,fOxAB*var 8C] 


图 10-52 sub 2903E824 


十 六 重 数据 源 来 自 于 R5， 故 R5 是 十 七 重 数据 
源 ; 十 七 重 数据 兰 久 来 目 于 R1， 因 此 R1 走 十 八重 
效 据 源 ， 而 它 没有 航 赋 值 融和 直接 取 值 了 ， 说 明 R1 


来 目 sub_2903E824 的 调用 者 ， 对 吧 ? 看 看 它 的 交 
又 引用 ， 如 图 10-53 所 示 ° 


(Z3 xrefs to sub_2903E824 


E5 Up p _IMChatCalculateServiceForSendingNewCompose+2BE BL sub. 2903EB24 
Wsi Up o _IMChatCalculateServiceForSendingNewCompose+24A MOV 
M3 Up o  lIMChatCalculateServiceForSendingNewCompose«25C ADD 


图 10-53 ”查看 交叉 引用 


“NAIA AE AT AAR IAT FA Ee 
已 经 很 明显 了 ， 双 击 第 一 条 交叉 引用 ， 去 它 的 显 
陈 调 用 兰 那 隔 上 本 ， 如 铭 10-54 所 示 。 


这 里 要 先 确认 一 下 sub_2903E824 的 调用 者 是 
不 是 来 目 *<IMChatCalculateServiceForSending- 
消 空 地 址 输入 杠 ， 输 入 地 址 ， 


NewCompose" 


X 


在 sub_2903E824 的 第 一 条 指令 上 下 一 个 
Hee FHy*etum", GHA A, UF: 


Process 154446 stopped 

* thread #1: tid = 0x25b4e, 0x331f0824 

IMCore^ . lldb unnamed function425$$ IMCore, queue = 

'com.apple.main-thread, stop reason - breakpoint 2.1 
frame 40: Ox331f0824 

IMCore^ . lldb unnamed function425$$1MCore 

IMCore"^ A. lldb unnamed function425$$IMCore: 

-> 0x331f0824: push {r4, r5, rb, r7, Lr} 
0Ox331f0826: add r7, sp, #12 
0x331f0828:  push.w (r8, r10, r11} 
Ox331f082c: sub sp, #144 

(lldb) p/x $1r 

(unsigned int) $17 = 0x331f067b 

(1ldb) 


R6, [R9] ; "sharedInstance" 

RO, [R1] ; _OBJC CLASS $ IDSIDQueryController 

Rl, R6 

 objc ms 

Rl, #(:lowerl6:( IDSServicoNameiMessage ptr ~ 0x2903E64C)) 

Rll, R4 
#(:upperl6:(_ IDSServiceNameiMessage ptr - 0x2903E64C)) 
#(:lowerl6:(selRef_  currentIDStatusForDestinations service lis 
PC ; IDSServiceNameiMessage ptr 
#(:upperl6:(selRef_ current IDStatusForDestinations_service lis 
[R1] 

PC ; selRef currentIDStatusForDestinations service listenerID 

#(:lowerl6:(cfstr___kimchatservi ~ 0x2903E662)) ; " kIMChatSe 

(R2) ; " currentIDStatusForDestinations:service"... 

$(:upperló:(cfstr kimchatservi ~ 0x2903E662)) ; " kIMChatSe 

R4 


PC ; " kIMChatSoervicoeForSendingIDSQueryControllerListenerID" 
R10, [R3] 
R5, [SP,ftOx64*var 64] 
R3, R10 
.objc msgSend 
R5, RO 


#0x64+var_38 


sub 2903E824 


图 10-54 sub 2903E824 的 调用 者 


这 里 的 ASLR 偏 移 是 0xa1b2000， 所 以 调用 考 
的 实际 地 址 是 0x2903E67B， 正 是 来 
EH *IMChatCalculateServiceForSendingNewCompos 
十 八重 数据 源 来 自 R5， 因 此 R5 是 十 九重 数 
据 源 ; 而 十 九重 数据 源 来 目 objc_msgSend 的 返回 
值 ， 故 而 该 返回 值 是 二 十 重 数据 源 。 万 事 俱 备 ， 
只 欠 东 风 ， 我 们 看 看 这 个 神秘 的 objc_msgSend 到 
gf THETA, WI: 


e” 


Process 154446 stopped 
* thread #1: tid = 0x25b4e, 0x331f0668 
IMCore`IMChatCalculateServiceForSendingNewCompose + 688, 
queue = 'com.apple.main-thread, stop reason = breakpoint 3.1 
frame #0: Ox331f0668 

IMCore IMChatCalculateServiceForSendingNewCompose + 688 
IMCore' IMChatCalculateServiceForSendingNewCompose + 688: 
-> 0x331f0668: blx 0x332603b0 ; symbol 
stub for: objc msgSend 

Ox331f066c: mov r5, ro 

Ox331f066e: add rO, sp, #44 

Ox331f0670: mov r1, r5 
(lldb) p (char *)$ri 
(char *) $18 - 0x33274340 
" currentIDStatusForDestinations:service:listenerID:" 
(lldb) po $rO 
«IDSIDQueryController: 0x15dcb010> 
(lldb) po $r2 
<__NSArrayM 0x170e7900>( 


mailto:snakeninnyQgmail.com 


) 

(lldb) po $r3 

com.apple.madrid 

(lldb) po [$r3 class] 

. NSCFConstantString 

(lldb) x/10 $sp 

0x001e4548: Ox3b3f52b8 Ox001e459c Ox3b4227b4 Ox3cO1b05c 
0x001e4558: 0x00000001 0x00000000 0x170828d0 0x001e4594 
0x001e4568: Ox2baac821 0x00000000 

(lldb) po Ox3b3f52b8 

. kIMChatServiceForSendingIDSQueryControllerListenerID 

(lldb) po [0x3b3f52b8 class] 

__NSCFConstantString 

(1ldb) c 


PLT ANG, KAHIR  xUTobjc msgsendi 
JR-ZJa, z[[IDSIDQueryController 
sharedInstance]|_currentIDStatusForDestinations:@| 
@"mailto:snakeninny@gmail.com"|service:@"com.a 
pple.madrid"listenerID:@"__kIMChatServiceForSen 
dingIDSQueryControllerListenerID"], [5173/5 P^ 
AXE E. PLDRISBASUAHB ha, U 
就 是 收 件 人 数组 ， 我 们 终于 跟踪 到 了 原始 数据 
Ji ! 


EUH AEA TAA AE, MA Pe AA SE 
«Ty, TARSAL, Danas, T 
起 精神 来 ! 


10.25 ”还 原 原 始 数据 源 生 成 placeholderText 的 过 
程 


函数 都 个 我 们 找 人 到了， 貌似 可 以 通过 更 改 第 
一 个 NSArray 参 数 ， 来 达到 检测 任意 目标 地 址 是 
否 文 持 ijMessage 的 鸡 果 ， 只 要 它 的 返回 值 
(NSDictionary) 中 key 所 对 应 的 value 非 0 且 非 2， 
则 key 支 持 iMessage， 否 则 key 仪 支持 SMS。 真 的 
是 这 样 吗 ? 我 们 已 经 知道 ， 对 于 邮件 地 址 来 说 ， 
参数 格式 为 “mailto:”"， 那 电话 号 人 码 的 参数 格式 


NE? 在 _currentIDStatus- 


ForDestinations:service:listenerID: E FT 9T a@— 
A, WF: 


Process 102482 stopped 
* thread #1: tid = 0x19052, 0x30230668 
IMCore`IMChatCalculateServiceForSendingNewCompose + 688, 
queue = 'com.apple.main-thread, stop reason = breakpoint 6.1 
frame #0: 0x30230668 
IMCore`IMChatCalculateServiceForSendingNewCompose + 688 
IMCore`IMChatCalculateServiceForSendingNewCompose + 688: 
-> 0x30230668: blx 0x302a03b0 ; symbol 
stub for: objc_msgSend 
0x3023066c: mov r5, ro 
0x3023066e: add rO, sp, #44 
0x30230670: mov ri, r5 
(lldb) po $r2 
<__NSArrayM 0x17820560>( 
tel:+86PhoneNumber 


) 


LLDB#lldebugserver uH] D ETIN (RE — FT 9 [Al 
到 Cycript 中 ， 实 际 验证 一 下 猜测 ， 如 下 : 


FunMaker-5:~ root# cycript -p MobileSMS 

cy# [[IDSIDQueryController sharedInstance] 
_currentIDStatusForDestinations:@[@"mailto:snakeninny@gmail. 
com", @"mailto:snakeninny@icloud.com", @"tel:bbs.iosre.com", 
@"mailto:bbs.iosre.com", @"tel:911", @"tel:+86PhoneNumber" | 
service:@"com.apple.madrid" 

listenerID:Q"  kIMChatServiceForSendingIDSQueryControllerLis 
tenerID"]Q("tel:bbs.iosre.com":2, "mailto:snakeninnyQgmail.co 
m":1,"tel:911":2, 'mailto:bbs.iosre.com":2,"mailto:snakeninny 
@icloud.com":1,"tel:+86PhoneNumber ":1) 


哈哈 ， 输 出 的 结果 再 清 苞 不 过 了 ，2 个 文 持 
iMessageR JERR TU 1T FALSE] F1, mU537 
不 文 持 iMessage 的 地 址 返回 了 了 2， 实验 结果 验证 了 
分 析 ， 而 且 还 知道 了 iMessage 的 内 部 称呼 
为 “Madrid”。 任 务 完成 ， 万 多 |! 


10.3 ”发 送 iMessage 


经 过 10.2 玫 的 洗礼 ， 相 信 部 分 读者 会 产生 跟 
笔者 相同 的 感觉 一步 一 步 用 LLDB 调 试 虽然 准 
Wi ue, OLTBEREUNX, AAR E o 
[n] LU ESEEPT AS. AES ER, HERA 
FASE A AHA BITS RR IA Bll H BJ © ANT SOR AIX 
种 方式 一 一 尽量 少 地 使 用 LLDB， 尽 量 多 地 通过 
IDA 和 class-dump 中 看 到 的 天 键 词 ， 并 用 Cycript 配 
合 联 想来 达到 发 送 iMessage 的 目的 。 


10.3.1 从 MobileSMS 界 面 元 素 寻 找 逆 同 切 入 点 


相对 于 检测 iMessage， 发 送 iMessage 的 切入 点 
就 要 明显 得 多 ， 在 图 10-55 所 示 的 iO0S 截 图 上 ， 这 


T ACKBU*Send" TZ EH, ILE SERRA TS BATIK 
fL A? 


eeeco 中 国联 通 T 22:33 9 100% ME 


New iMessage Cancel 


To: snakeninny@icloud.com 


ATISIDIFIGIHIJIKIL 


— o —————— 


图 10-55 ”显眼 的 “Send>” 


f& F"Send", Ax*—?KiMessage, XH 
i*iMessagex B WLAN 3I, o ER10.27 5 — RE, SERRE 
AFI SWRA RERUM ROS: [8] LR: 


“Send” 按 钮 是 一 个 UIView， 具 体 地 说 ， 可 能 
是 一 个 UIButton; 点 击 这 个 UIButton， 调 用 
UIButton 的 啊 应 动作 ;全 套 啊 应 动作 包括 更 新 界 
面 、 发 送信 息 、 添 加 已 发 送 记 录 ， 等 等 ， 也 束 是 
说 ， 发 送信 息 的 操作 只 是 全 套 啊 应 动作 的 子 集 。 


在 MobileSMS 发 送 界 面 中 ， 我 们 的 输入 只 
收 件 人 地 址 和 信息 内 容 ， 它 们 是 原始 数据 源 。 
为 可 以 拿 到 全 套 啊 应 动作 ， 而 发 送信 息 的 操作 一 
定 要 以 原始 数据 源 为 参数 ， 所 以 可 以 根据 这 2 个 条 
件 ， 在 全 套 响 应 动作 里 和 选 出 发 送信 息 的 操作 。 


5 ETI E SHOES ANTE], OCR MORS BIA 
终点 ， 演 示 逆 向 工程 的 另 一 种 思路 。 


总 结 一 下 ， 逆 同 工 程 的 思路 是 这 样 的 ; 先 用 
数 ， 然 后 用 IDA 
纵览 全 套 啊 应 动作 ， 结 合 LLDB 和 数据 源 ， 寻 找 
可 疑 的 发 送 操作 。 


10.3.2 HiCycriptiX E “Send” FTAA HH hy ER BY 


AA Bil TREE 10.2 3 FF Zeek ll T “Send” Arte 
的 view 是 一 个 CKMessageEntryView， 所 以 这 里 就 
可 以 直接 重复 10.2.2 广 的 分 析 思 路 ， 得 出 下 面 的 结 
He: 


cy# ?expand 

expand == true 

cy# [UIApp windows] 

@[#"<UIWindow: 0x14e12fa0; frame = (0 0; 320 568); 
gestureRecognizers = «NSArray: 0x14e11f50>; layer = 


«UIWindowLayer: 0x14ee4570>>",#"<UITextEffectswindow: 
Oxi4fa6000; frame = (0 0; 320 568); opaque = NO; 
gestureRecognizers = <NSArray: Oxi4fa66d0»; layer = 
«UIWindowLayer: 0x14fa5fcO>>",#"<CKJoystickWindow: 
0x14d22310; baseClass = UlAutoRotatingWindow; frame = (0 0; 
320 568); hidden = YES; gestureRecognizers = <NSArray: 
0x14d21ab0»; layer = <UIWindowLayer: 0x14d22140>>"] 

cy# [#0x14fa6000 subviews] 

@[#"<UIInputSetContainerView: 0x14d03930; frame = (0 0; 320 
568); autoresize = W+H; layer = <CALayer: 0x14d03770>>" | 
cy# [#0x14d03930 subviews] 

@[#"<UIInputSetHostView: 0x14d033f0; frame = (0 250; 320 
318); layer = <CALayer: 0x14d03290>>" ] 

cy# [#0x14d033f0 subviews ] 

@[#"<UIKBInputBackdropView: 0x160441a0; frame = (0 65; 320 
253); userInteractionEnabled = NO; layer = <CALayer: 
0x16043b60>>", #"<_UIKBCompatInputView: 0x14f78a20; frame = 
(0 65; 320 253); layer = <CALayer: 0x14f78920>>",#" 
«CKMessageEntryView: 0x160c6180; frame = (0 0; 320 65); 
Opaque = NO; autoresize = W; layer = <CALayer: 
0x16089920>>" | 

Cy# [#0x160c6180 subviews ] 

@[#"<_UIBackdropView: 0x16069d40; frame = (0 0; 320 65); 
opaque = NO; autoresize = W-*H; userInteractionEnabled = NO; 
layer = « UIBackdropViewLayer: 0x14d627c0>>",#"<UIView: 
0x16052920; frame = (0 0; 320 0.5); layer = <CALayer: 
©x160529d0>>",#"<UIButton: 0x1605a8b0; frame = (266 27; 53 
33); opaque = NO; layer = <CALayer: 0x16052a00>>",#" 
<UIButton: Oxi14d0b2cO; frame = (266 30; 53 26); hidden = 
YES; opaque = NO; gestureRecognizers = <NSArray: 
0x160f9800»; layer = <CALayer: 0x1605a140>>",#"<UIButton: 
0x1606f040; frame = (15 33.5; 25 18.5); opaque = NO; 
gestureRecognizers = <NSArray: 0x14d07970>; layer = 
«CALayer: 0x1605aaaQ>>",#" 
<_UITextFieldRoundedRectBackgroundViewNeue: 0x160e5ed0; 
frame = (55 8; 209.5 49.5); opaque = NO; 
userInteractionEnabled = NO; layer = <CALayer: 
0x160d3a10»2",Z"«UIView: 0x160a3390; frame = (55 8; 209.5 
49.5); clipsToBounds - YES; opaque - NO; layer - «CALayer: 
0x160b8ab022",Zz"«CKMessageEntryWaveformView: 0x160c4750; 
frame = (15 25.5; 251 35); alpha = 0; opaque = NO; 
userInteractionEnabled - NO; layer - «CALayer: 
0x160c47e0»2" | 


EA, “UIView: 0x16052920” ii 

是 “jiMessage” 所 在 的 view， 还 记得 吧 ? 那么 ， 紧 
随 其 后 的 2 个 UIButton 束 显得 十 分 可 疑 了 ， 有 直觉 竺 
诉 笔 者 ,“Send” 就 是 它 俩 其 中 之 一 。 同 时 我 们 注 

意 到 ， 第 三 个 UIButton 的 hidden 属 性 是 YES， 也 就 
是 说 这 个 按钮 是 隐藏 的 ， 那 么 可 见 的 “Send” 肯 定 
就 是 “UIButton: 0x1605a8b0” 了 “。 还 是 用 Cycript 
来 确认 一 下 ， 如 下 : 


cy# [#0x1605a8b0 setHidden:YES] 


DUT Zia, FASE T É0-56B RET: 


eeeco 中 国联 通 v 11:10 © 91% (m^ 


New iMessage Cancel 


To: snakeninny@icloud.com 


(©)  iMessage| 


QIWI EIRITIYTUI I JOJP 
ATSIDIFIGIHIJIKIL 


ZIXICIVIBINIM 


123 & Q space return 


图 10-56 Ba“ Send” 


准确 无 误 。 按 下 这 个 UIButton 后 ， 发 送 一 条 


iMessage; UIButton 与 其 点 击 之 后 的 动作 一 般 是 通 


iw addTarget:action:forControlEvents: KH KH% 


的 ， 这 是 UIButton 的 父 类 UIControl 中 的 一 个 男 

数 。 而 UIControl 类 本 身 就 提供 了 一 个 
actionsForTarget:forControlEvent: 来 反 查 UIControl 
对 象 的 动作 。 可 以 利用 这 个 函数 ， 来 看 看 按 

下 “Send” 之 后 会 触发 什么 动作 ， 如 下 : 


Cy# [#0x1605a8b0 setHidden:NO] 

cy# button = £0x1605a8b0 

#"<UIButton: 0x1605a8b0; frame = (266 27; 53 33); hidden = 
YES; opaque = NO; layer = «CALayer: 0x16052a00>>" 

cy# [button allTargets] 

[NSSet setWithArray:@[#"<CKMessageEntryView: 0x160c6180; 
frame = (0 0; 320 65); opaque = NO; autoresize = W; layer = 
«CALayer: 0x16089920>>"]]] 

cy# [button allControlEvents] 

64 

cy# [button actionsForTarget:#0x160c6180 forControlEvent:64] 
Q["touchUpInsideSendButton:"] 


ADA, HERAK E 
[CKMessageEntry View 
touchUpInsideSendButton:button] ° 现在 ， 转 战 到 
IDA 和 LLDB 上 ， 看 看 这 个 函数 的 内 部 实现 。 


10.3.3 ”在 啊 应 画 数 中 寻找 可 疑 的 发 送 操 作 


[CKMessageEntryView 
touchUpInsideSendButton:button]E^] EEIN fij E. 
如 图 10-57 所 示 。 


; CKMessageEntryView - (void)touchUpInsideSendButton: (id) 
; Attributes: bp-based frame 


; void _ cdecl -[CKMessageEntryView touchUpInsideSendButton:] 
. CKMessageEntryView touchUpInsideSendButton 
(R4, d ,LR) 


y - 0x268BC7B6) ; selRef 
SP, #4 

PC ; selRef delegate 

[201 ; "delegate" 


gSend 
I Command cm  messageEntryVi 


B Comme Ced: messageEntryVi 

PC ; selRef - messageEntryViewSendButtonHi 

[R1] ; "messageEntryViewSendButtonHit:" 

a0 $7 ms 

RO, #(selRef_updateEntryView - Ox268BC7DA) ; 
RO, PC ; selRef _updateEntryView 
R1, [RO] ; "updateEntryView" 

4 


j. objc ; 
; End of function -[CKMessageEntryView touchUpInsideSendButto 


图 10-57 [CKMessageEntry View 


touchUpInsideSendButton:button | 


^i: [[self 
delegate]messageEntry ViewSendButtonHit:self], $^ 
后 [self updateEntryView] ° 44 F SL ADDE Je EE ze fal 
Ft SE BAA, EA XII E DAR ES TE BUR 
Ale Pm EH Cycript& [self delegate]zéfT A , 
如 下 : 


cy# [#0x160c6180 delegate] 
#"<CKTranscriptController: 0x15537200>" 


7EIDA# Bil f [CK TranscriptController 
messageEntry ViewSendButtonHit: CK MessageEntry 
View] ° XP ER BATE ER ECTS] ER, RAT 10-5897 


Zw 


图 10-58 [CKTranscriptController 
messageEntry ViewSendButtonHit:CK MessageEntry 


View] 


相信 你 用 肉眼 天 能 看 出 ， 实 际 的 发 送 操作 蜡 
着 在 [self sendComposition:[ CKMessageEntry-View 
compositionWithAcceptedAutocorrection]]H ° 32 F 


来 在 Cycript 中 看 看 [self composition- 


WithAcceptedAutocorrection] 是 什么 : 


cy# [40x160c6180 compositionWithAcceptedAutocorrection] 
#"<CKComposition: 0x160b79d0» text:'iMessage {\n}' 
subject:'(null)'" 


它 是 一 个 CKComposition 对 象 ， 且 明明 白 日 地 
显示 了 要 发 送 的 标题 和 和 内容。 继续 看 
sendComposition: 的 内 部 实现 ， 如 图 10-59 所 示 。 


Qi Imports OF) 


4410-59 [self sendComposition:] 


其 实现 很 复杂 ， 有 必要 在 到 LLDB 上 一 步 一 
步调 试 之 前 ， 先 大 概 地 过 一 下 进程 流程 中 的 儿 个 
分 文 ， 看 看 其 逻辑 走 癌 。 移 来 到 loc_268D427C 
中 ， 如 图 10-60 所 示 。 


loc 268D427C 
MOV , d — = E ; selRef hasContent 
ADD RO, PC ; elRe t oe 

LDR , [R0] 

MOV RO, 一 

MOV 
BLX 


R1, 
_obj er 
TST.W 


RO, $OxFF 
BEQ loc 268D4350 


410-60 loc 268D427C 


WRAN MEAZ, RIZEN 
是 “iMessage”， 当 然 算 是 “有 内 容 *， 直 右边， 到 达 
图 10-61 ° 


+ @(:lowerl6é: (selRef_nextMediaObjectToTrimInComposition ~ 0x268D42A4)) 
R2 


: #(s:upperl6:(selRef nextMediaObjectToTrimInComposition =- 0x268D42A4)) 
PC ; selRef nextMoed. 


ia0bjectToTrimInComposition 
} "nextMedia0bjectToTrimInComposition:" 


“下 一 个 待 调整 的 媒体 对 象 ”? 难道 是 指 的 图 
刻 、 语 首 、 视 频 这 类 东西 ? 我 们 要 发 的 iMessage 
是 纯 文 字 ， 应 该 不 涉及 这 些 东西 ， 走 右边 ， 到 达 
图 10-62 ° 


RO, [R4,R6] 
LES 


, 
loc 268D4602 


ROE? 回 到 sendComposition: 的 开始 音 
分 ， 如 图 10-63 所 示 。 


RO 原来 是 self->_newRecipient， 在 Cycript 中 看 
看 它 的 值 是 多 少 ， 如 下 : 


Cy# #0x15537200->_newRecipient 
工 


.objc ms nd 
RO, #( OBJC IVAR $ CKTranscrip 
; int newRecipient:1; 
; int newRecipient:1; 


, 
loc 268D424C 


10-63. ”追踪 R0 的 值 


因此 “TST.W R0,#4” 的 结果 是 0， 走 右边 到 达 
loc 268D4604， 如 图 10-64 所 示 。 


, #(selRef_is —— age - 0x268D4610) ; selRef_isSendingMessage 
isSendingMessage 


; selRef 
5 


410-64 loc 268D4604 


“下 在 发 送信 息 ”? 按 下 “Send” 之 后 才 发 送信 
已 ， 那 这 里 的 “正在 ” 指 的 是 按 下 “Send> 之 前 还 
后 呢 ? 像 下 面 这 样 分 别 测试 一 下 好 了 : 


cy# [#0x15537200 isSendingMessage | 
0 


然后 按 下 “Send”， 有 再 测 一 


cy# [#0x15537200 isSendingMessage | 
0 


可 见 ， 不 管 是 按 下 *Send” 之 前 还 是 之 后 ， 
[self isSendingMessage] 的 返回 值 都 是 0， 走 左边 那 


条 路 ， 继 续 寻 找 下 一 个 分 文 ， 如 图 10-65 所 示 。 


, #(:lowerl6é: (selRef_canSendToRecipients alertIfUnable - 0x268D4648)) 


R 
; #(:upperl6é: (selRef_canSendToRecipients_alertifUnable_ - 0x268D4648)) 
' epi 
r 


; selRef canSendToRecipients_alertIfUnable_ 


"canSendToRecipioents:alertlIfUnable:" 


“能 发 送 给 收 件 人 吗 ? ”我 们 的 目标 地 址 是 一 
个 有 效 的 iMessage 账 号 ， 当 然 能 了 ! ÆA, FI 
达 图 10-66 ° 


#0 

SP, #0x3C+var_38 

[SP,fOx3C*var 38] 

$(:lowerl6:(selRef canSendComposition error - 0x268D466E)) 


&(:upperl6ó:(selRef canSendComposition error - 0x268D466E)) 
[R4,R10] 
PC ; ition error 


o PEBPBPBEB 


selRef | 
[R1] ; "canSendComposition:error: 
jc msgSend 

, 


xFF 
loc 268D471E 


“能 发 送 写 好 的 内 容 吗 ? ”因为 刚才 都 已 经 把 
CKComposition 的 内 容 打 印 出 来 了 了， 所 以 这 里 也 没 
问题 ， 走 左边 ， 到 达 图 10-67。 


RO, 4h lowerl6:(selRef setSendingMessage - 0x268D4686)) 
R2 


RO, ic :upperl6:(selRef setSendingMessage — 0x268D4686)) 
RO, PC ; selRef setSendingMessage. 

R10, [RO] ; "setSendingMessage: 

RO, R4 


+ 
R1, R10 
22 23 | msgSend 


Ri 一 

agic ^" Muss 
RO, $OxF 

loc 268D47CE 


410-67 分 支 


这 里 义 是 一 个 分 支 。 往 上 看 看 ， 就 可 以 在 图 
10-60 中 找到 R5 的 什 ， 可 见 ， 这 里 要 再 次 判断 发 送 
的 信息 是 否 “ 有 内 容 * 了 。 走 右边 ， 到 达 图 10-68。 


图 10-68 这 张 图 的 信息 量 略 大 ， 但 仔细 看 看 ， 
你 就 会 发 现 前 面 做 的 一 系列 动作 都 是 UI 层面 的 刷 


新 操作 ， 只 有 最 后 一 个 sendMessage: 十 分 可 疑 。 

个 函数 的 参数 是 什么 ? EEE, AT De BE 
Mæ [self sendComposition:] 的 参数 ， 即 一 个 
CKComposition 对 象 。 继 续 分 析 
[CKTranscriptController sendMessage:] 的 实现 ， 如 
图 10-69 所 示 。 


IX “SER A TILES EAR SMA, EEN Ot 
遍 〈 思 路 跟 浏览 sndComposition: 时 一 样 ) 后 就 
会 发 现 ， 分 文 里 部 只 是 做 了 一 些 准 备 工 
作 ，“_startCreatingNewMessageForSending:” 才 是 
可 能 发 出 信息 的 地 方 。 去 它 的 实现 里 看 看 ， 如 图 
10-70 所 示 。 


这 里 的 逻辑 略 纠 结 。 按 照 上 面 摘 述 过 的 四 
FE, RBM bi 38 ^ TE TE RE DER BRE TR] B JEN 


fe, HAMAS HER 


到 “sendMessage:newComposition:”， 且 它 一 共 出 
现 了 2 次 ， 即 图 10-71 所 示 的 2 个 深 色 方块 。 


下 面 来 看 看 这 个 函数 的 实现 ， 如 图 10-72 所 


» V(solRof activeKeyboard ~ 0x268D46B4) ; selRof activeKeyboard 
' "gem  UlKeyboard ~ 0x268D46B6) ; classRef UIKeyboard 
veKeyboard 


selRe 
r 4 : classRef U 
» (RO) ; "activokeyboard" 
» [R2] ; _OBJC CLASS $ UIKeyboard 


jc 
, W(selRef removeAutocorrectPrompt ~ 0x268D46C8) ; selRef removeAutocorrectPrompt 


jc 
Rl, #(selRef view ~ Ox268D46EO0) ; selRef view 
Rl, PC ; selRef view 
Rl, [R1] ; "view" 


obje 
Rl, #(:lowerl6: (selRef_setUserInteractionEnabled_ - 0x268D46F2)) 
R2, #0 


~ 0x268D4716)) 


- 0x268D4716)) 
Ref | 
; : jeg 


图 10-69 [CKTranscriptControllersendMessage:] 


QA] Structures =@[ Enums Q S3 Imports 


图 10-70 
[CKTranscriptController startCreatingNewMessageF 


orSending: | 


Q [A] Structures @[Æ] Enums © Imports 


E] 10-71 


[CKTranscriptController startCreatingNewMessageF 


orSending: | 


图 10-72 [CKConversation 


sendMessage:newComposition: | 


它 进 一 步调 用 
J “sendMessage:onService:newComposition:”, 4f 


续 跟 过 去 ， 如 图 10-73 所 示 。 


图 10-73 [CKConversation 


sendMessage:onService:newComposition: | 


WUE, Xu ^. SUE 
如 “Sending message with guid: %@” ` “=>Sending 
account: %@” ^ “=>Recipients: [%@]” 等 的 字 
眼 ， 且 它们 大 都 是 _CKLogExternal 的 参数 一 都 
已 经 开始 记录 这 些 字眼 了 ， 不 恰恰 说 明正 在 发 
FEAR IAPS? 进一步 ， 在 图 10-74 中 又 
看 到 了 可 疑 的 字眼 “sendMessage:”。 


owerl6:(selRef sendMessage - 0x2691F844)) 


1:upperl6:(selRef sendMessage - 0x2691FB44)) 
selRef sendMessage 
M. 


Contact - Aie 2691F856) ; selRef recordRecentContact 
ntac 


410-74 loc 26911836 


它 的 调用 者 和 参数 是 什么 ? 还 是 直接 用 IDA 
把 它们 给 找 出 来 。 先 看 调用 着 R0， 它 来 目 R5。 
又 来 自 哪里 昵 ? 往 上 走 ， 往 上 走 ， 到 
loc_2691F726 处 ， 如 图 10-75 所 示 。 


RO, #0x12 
CKShouldLogExternal 


R8, [SP,#0xA4+var 90] 
RO, $OxFF 

R10, [SP,fOxA4-*var 94] 
R5, [SP, #0xA4+var 98] 
loc 2691F74E 


图 10-75 loc 26911726 


HEH, “LDR R5,[SP#0xA4+var 98] RE T 
R5 的 值 ， 那 [SP#OxA4+var 98] 是 什么 呢 ? 还 记得 
在 10.2 节 中 是 如 何 处 理 这 类 问题 的 吗 ? 把 光标 放 


在 var 98 上 ， 然 后 按 下 “x”， 查 看 其 交叉 引用 ， 如 
图 10-76 所 示 。 


xrefs to var_98 


STR RO, [SP .#0xA4+var_98] 
.. LOR R5, [SP #0xA4+var_98] 


图 10-76 查看 交叉 引用 


双击 第 一 条 交叉 引用 ， 跳 较 至 “STR RO, 
[SP,#0xA4+var_98]”, ROX E[R6 chat]。R6 在 
[CK Conversation 
— 开始 首 
一 次 出 现 ， 很 明显 是 self， 所 
lone 用 者 是 [self chat]。 接 看 回 到 


图 10-74 中 ， 可 看 到 它 的 参数 R2 来 目 R6。 往 上 拉 
一 点 ， 可 以 看 到 R6 来 自 ]oc_ 2691F6F4 中 的 “LDR 
R6,[SP#0xA4+var 80]”， 如 图 10-77 所 示 。 


RO, #0x12 
CKShouldLogExternal 


R6, [SP,fOxA4*var 80] 
RO, #0xFF 
loc 2691F726 


图 10-77 loc 2691f6f4 


接 下 来 该 怎么 办 ? 我 们 在 1 分 钟 前 刚 完成 了 一 
次 类 似 的 操作 ， 这 里 就 不 再 用 文字 描述 了 ， 只 用 
几 张 图 片 (如 图 10-78 至 图 10-80 所 示 ) 作为 小 提 
示 ， 由 读者 自己 来 完成 这 个 操作 。 


[SP,fOxA4*var 90] 

$(selRef chat ~ 0x2691F618) ; selRef chat 
[SP, #0xA4+var 94] 

PC ; selRef chat 

[201 ; "chat" 


ER 


#(selRef_ Mie Ii - 0x2691F62C) ; selRef account 
PC ; selRef account 
[R1] ; "account" 
[SP,fOxA4*var 9C] 
.objc ms 
[SP,fOxA4*var 84 


] 
Z(rdenuoés (same fileTransferGUIDs - 0x2691F64C)) 
SP, #0xA4+var_7 
t(rupperié: (salRef. fileTransferGUIDs - 0x2691F64C)) 


(sp, fOxA4*var 80) 
R6, #0x10 


图 10-79 [CKConversation setChat:] 


; void _ cdecl -[CKConversation sendMessage:onService:newComposition:] 
. CKConversation sendMessage onService newComposition __ 


var A= -OxA4 


var 7C= -0x7C 
var 78* -0x78 
var 74-7 -0x74 
var SC= -0x5C 
var iC= -Oxic 


(R4-R7 , LR) 

R7, SP, #0xC 

(n, R10,R11} 
s, #0x8C 


, 
7 T Stack chk guard ptr ~ 0x2691F5B2) ; /— 


Stack chk guard ptr 


图 10-80 [CKConversation 


sendMessage:onService:newComposition: | 


所 以 [[self chat]sendMessage:]H* Z2 5 [self 
sendMessage:onService:newComposition:]H*) 8 — 
参数 一 脉 相 承 。 那 么 [self chat] 是 什么 类 型 ， 参 数 
又 是 什么 类 型 呢 ? 在 上 面 的 静态 分 析 中 ， 我 们 并 


没有 在 IDA 中 找到 什么 明显 的 线索 ， 因 此 ， 是 时 
候 让 LLDB 出 来 热 热身 了 。 


先 编写 一 条 iMessage， 然 后 在 
[CKConversation 
sendMessage:onService:newComposition: ] Æ 
部 “sendMessage:” 下 方 的 那个 objc_msgSend 上 下 个 
R, RETZ T Send”, ARETA, WF: 


Process 233590 stopped 
* thread #1: tid = 0x39076, 0x30adi1846 ChatKit`- 
[CKConversation sendMessage:onService:newComposition:] + 
686, queue = 'com.apple.main-thread, stop reason = 
breakpoint 1.1 

frame #0: Ox30ad1846 ChatKit`-[CKConversation 
sendMessage:onService:newComposition:] + 686 
ChatKit'-[CKConversation 
sendMessage:onService:newComposition:] + 686: 
-> 0x30ad1846: blx Ox30b3bf44 ; symbol 
stub for: MarcoShouldLogMadridLevel$shim 

0x30adi84a: movw ro, #49322 

0x30adi184e:  movt ro, #2541 

0x30ad1852: add rO, pc 
(lldb) p (char *)$r1i 
(char *) $0 = 0x32b26146 "sendMessage:" 
(lldb) po $ro 
«IMChat Ox5ef2ce0> [Identifier: snakeninnyQicloud.com 
GUID: iMessage;-;snakeninnyQicloud.com Persistent ID: 
snakeninnyQicloud.com Account: 26B3EC90-783B-4DEC -82CF- 


F58FBBB22363 Style: - State: 3 Participants: 1 Room 
Name: (null) Display Name: (null) Last Addressed: (null) 
Group ID: F399BOB5-800F -47A4-A66C-72C43ACC0428 Unread 
Count: © Failure Count: 0] 

(lldb) po $r2 

IMMessage[from=(null); msg-subject=(null); account: (null); 
flags=100005; subject='<< Message Not Loggable >>' text='<< 
Message Not Loggable >>' messageID: 0 GUID: '966C2CD6-3710- 
4DOF-BCEF-BCFEE8E60FE9' date: '437730968.559627' date- 
delivered: '0.000000' date-read:'0.000000' date- 

played: '@.000000' empty: NO finished: YES sent: NO read: NO 
delivered: NO audio: NO played: NO from-me: YES emote: NO 
dd-results: NO dd-scanned: YES error: (null) ] 

(1ldb) ni 


结 来 不 能 再 明显 了，[IMChat 

a ee o 

主意 ， 笔 者 在 打印 完 所 有 需要 的 信息 后 执行 

eni" 命 令 ， 然 后 听 到 iPhone 发 出 了 一 个 熟悉 
的 “信息 已 发 送 ” 的 提示 首 。 这 从 侧面 说 明 ， 实 际 
的 发 送 操作 正 是 在 IIMChat 
sendMessage:IMMessage] 内 完成 的 。 因 为 IMChat 
AlIMMessagel BU 2x29 AIM, PRAE TIARA 
ChatKit 以 外 的 库 ，ChatKit 所 提供 的 最 底层 的 发 送 


B ERAI [CK Conversation 
sendMessage:onService:newComposition: 7 1k ° Ill 
AY, ADEE, Aad rie Bath] A CLEJIMChat 
和 IMMessage， 束 可 以 实现 发 送 iMessage 的 功能 
了 。 那 么 问题 来 了 ， 怎 么 构造 这 2 个 类 的 对 象 呢 ? 
化 党 为 和 洽 ， 在 class-dump 的 头 文件 里 找 找 看 有 没有 
线索 。 


要 构造 IMChat 和 IMMessage， 束 和 完 看 看 它们 
的 头 文 件 里 有 没有 什么 明显 的 构造 方法 。 先 打开 
IMChat.h， 看 看 有 没有 包含 “init* 字 服 的 关键 词 ， 
如 下 : 


- (id)_initwithDictionaryRepresentation:(id)argl1 items: 
(id)arg2 participantsHint:(id)arg3 accountHint:(id)arg4; 

- (id)init; 

- (id) initWithGUID:(id)argi account:(id)arg2 style: 
(unsigned char)arg3 roomName:(id)arg4 displayName:(id)arg5 
items:(id)arg6 participants: (id)arg7; 


上 面 的 代码 中 参数 众多 ， 如 何 一 个 个 构造 它 
们 ， 我 们 一 点 头绪 都 没有 。 那 接 下 来 该 怎么 办 
呢 ? 


还 记得 是 如 何 找到 “sendMessage:” 调 用 者 的 
吗 ? 对 了 ， 使 用 [self chat] 
CKConversation 对 象 ， 看 看 [CKConversation chat] 
是 怎么 来 的 ， 不 就 知道 IMChat 是 如 何 生 成 的 了 
吗 ? 在 IDA 里 定位 到 [CKConversation chat]， 如 图 


self 是 一 个 


10-81 所 示 。 


; CKConversation - (id)chat 


; id 2, ceci "qr rsation chat](struct CKConversation *self, SEL) 
CKCon 


chat 
MOV » a osJc. IVRAR_ $_ — sation. chat - 0x26920778) ; IMChat * cha 
ADD , IMCha 
LDR R1, [R 1] ; IMChat * ge 
LDR , [RO,R1] 
Bx R 


图 10-81 [CKConversation chat] 


[CKConversation chat] 就 是 实例 变量 _chat 的 
值 ， 这 个 场景 似曾相识 啊 一 一 还 记得 大 明湖 昱 的 
Ef, RA, ze 10-22 8H 
 composeSendingServicel3? 此 处 的 想法 与 操作 与 
ABB SES, LLDBX ETE ES PIEK 
用 场 了 ! 删 掉 已 发 送 的 iMessage 对 话 〈 即 删 掉 这 
个 CKConversation) , iniqui (新 建 一 


条 CKConversation) ， 然 后 在 [CKConversation 
setChat:] 上 下 一 个 断 点 ， 点 击 “Send”， 触 发 断 点 ， 
如 下 : 


Process 248623 stopped 
* thread #1: tid = Ox3cb2f, 0x30ad277c ChatKit' - 
[CKConversation setChat:], queue - 'com.apple.main-thread, 
stop reason - breakpoint 13.1 
frame #0: 0x30ad277c ChatKit -[CKConversation setChat: ] 

ChatKit'-[CKConversation setChat:]: 
-> 0x30ad277c:  movw r3, #55168 

0x30ad2780:  movt r3, #2541 

0x30ad2784: add r3, pc 

0x30ad2786: ldr r3, [r3] 
(lldb) po $r2 
«IMChat 0x1594f7e0» [Identifier: snakeninny@icloud.com 
GUID: iMessage;-;snakeninnyQicloud.com Persistent ID: 


snakeninnyQicloud.com Account: 26B3EC90-783B-4DEC -82CF- 
F58FBBB22363 Style: - State: 0 Participants: 1 Room 
Name: (null) Display Name: (null) Last Addressed: 


(null)Group ID: (null) Unread Count: O Failure Count: 0] 
(lldb) p/x $1r 


(unsigned int) $20 = Ox30acf625 


LR tri? Bi A‘ f& x 0x30acf625- 
0xalb2000=0x2691d625， 这 个 地 址 位 于 
[CKConversation initWithChat:] 中 。 不 过 ， 
[CKConversation initWithChat: ]HJ J| Fl x Xz iB 
呢 ? 如 法 炮制 CER, BRC BIBLIA Bs AMI C 
发 送 的 iMessage 对 话 ， 再 新 建 一 条 iMessage， 下 
[a]) 


Process 248623 stopped 
* thread #1: tid = Ox3cb2f, Ox30acf5ec ChatKit' - 
[CKConversation initWithChat:], queue - 'com.apple.main- 
thread, stop reason - breakpoint 14.1 
frame #0: Ox30acf5ec ChatKit' -[CKConversation 

initWithChat: ] 
ChatKit'-[CKConversation initWithChat: ] : 
-> Ox30acf5ec: push fr4, r5, r6, r7, 1r} 

Ox30acf5ee: add r7, sp, #12 

Ox30acf5fO:  push.w (r8, r10, rit} 

Ox30acf5f4: sub sp, #8 
(lldb) po $r2 


<IMChat 0x1470a520> [Identifier: snakeninny@icloud.com GUID: 


iMessage;-;snakeninnyQicloud.com Persistent ID: 
snakeninnyQicloud.com Account: 26B3EC90-783B-4DEC-82CF- 
F58FBBB22363 Style: - State: 0 Participants: 1 Room Name: 
(null) Display Name: (null) Last Addressed: (null) Group 
ID: (null) Unread Count: © Failure Count: 0] 

(lldb) p/x $1r 

(unsigned int) $22 - 0x30a8d131 


LR Bil HY [E.:::0x30a8d131— 
0xalb2000=0x268db131， 这 个 地 址 位 于 
[CKConversationList beginTrackingConversationWi 


thChat:] 中 。 继 续 : 


Process 248623 stopped 
* thread #1: tid = Ox3cb2f, 0x30a8d09c ChatKit' - 
[CKConversationList  beginTrackingConversationWithChat:], 
queue - 'com.apple.main-thread, stop reason - breakpoint 
15.1 
frame #0: Ox30a8d09c ChatKit -[CKConversationList 

_beginTrackingConversationwithChat: ] 
ChatKit'-[CKConversationList 
_beginTrackingConversationwithChat: ]: 
-> 0x30a8d09c: push {r4, r5, r6, r7, 1r} 

0x30a8d09e: mov r5, ro 

0x30a8d0a0:  movs ro, #25 

0x30a8d0a2: add r7, sp, #12 
(lldb) po $r2 
<IMChat 0x15a326a0» [Identifier: snakeninny@icloud.com 
GUID: iMessage;-;snakeninnyQicloud.com Persistent ID: 
snakeninnyQicloud.com Account: 26B3EC90-783B-4DEC -82CF- 
F58FBBB22363 Style: - State: 0 Participants: 1 Room 
Name: (null) Display Name: (null) Last Addressed: (null) 
Group ID: (null) Unread Count: O Failure Count: 0] 


(lldb) p/x $1r 
(unsigned int) $24 = 0x30a8d4f1 


LR tid Bil) (el 0x30a8d4f1— 
0xalb2000=0x268db131， 这 个 地 址 位 于 
[CKConversationList handleRegistryDidRegisterCh 
atNotification:] 中 ， 且 这 里 的 IMChat 对 象 来 日 于 
[notification object] ° 因为 这 里 的 IMChat 对 象 症 通 
过 notification 传 播 的 ， 所 以 下 一 个 目标 不 是 找到 
[CKConversationList handleRegistryDidRegisterCh 
atNotification:] 的 调用 者 ， 而 是 找到 这 条 
notification Afi, Ee AELIAN ELO ° 在 这 个 
国 数 的 第 一 条 指令 上 下 一 个 断 点 ， 看 看 这 条 
notification 的 结构 ， 如 下 : 


Process 248623 stopped 

* thread #1: tid = Ox3cb2f, 0x30a8d4ac ChatKit' - 
[CKConversationList 
_handleRegistryDidRegisterChatNotification:], queue = 
'com.apple.main-thread, stop reason = breakpoint 16.1 


frame #0: Ox30a8d4ac ChatKit' -[CKConversationList 
_handleRegistryDidRegisterChatNotification: | 
ChatKit'-[CKConversationList 
.handleRegistryDidRegisterChatNotification:]: 
-» 0x30a8d4ac: push fr4, r5, r6, r7, 1r} 

0x30a8d4ae: add r7, sp, #12 

0x30a8d4b0:  push.w (r8, r10, r11} 

0x30a8d4b4: sub.w r4, sp, #64 
(lldb) po $r2 
NSConcreteNotification 0x15934340 {name = 
. kIMChatRegistryDidRegisterChatNotification; object = 
<IMChat 0x147c39fO> [Identifier: snakeninny@icloud.com 
GUID: iMessage;-;snakeninnyQicloud.com Persistent ID: 
snakeninnyQicloud.com Account: 26B3EC90-783B-4DEC -82CF- 
F58FBBB22363 Style: - State: © Participants: 1 Room 
Name: (null) Display Name: (null) Last Addressed: (null) 
Group ID: (null) Unread Count: © Failure Count: 0]? 


这 条 notification 的 name 
E^ KkIMChatRegistryDidRegisterChatNotification" 
，Object 是 一 个 IMChat 对 象 ， 因 此 这 个 IMChat 对 
象 一 定 是 在 发 布 (post) 这 条 notification 之 前 就 已 
经 生成 了 。 要 找 出 这 条 notification 的 发 布 者 ， 最 
好 的 方法 ， 束 是 执行 grep 命 令 搜 索 一 裔 系统 文 
件 ， 看 


4i" kIMChatRegistryDidRegisterChatNotification" 
的 关键 字 都 会 在 哪些 文件 里 出 现 ， 如 下 : 


FunMaker-5:- root# grep -r 
_handleRegistryDidRegisterChatNotification: /System/ 

Binary file 
/System/Library/Caches/com.apple.dyld/dyld_shared_cache_armv 
7s matches 

grep: /System/Library/Caches/com.apple.dyld/enable-dylibs- 
to-override-cache: No such file or directory 

grep: 
/System/Library/Frameworks/CoreGraphics.framework/Resources/ 
libCGCorePDF.dylib: No such file or directory 

grep: 
/System/Library/Frameworks/CoreGraphics.framework/Resources/ 
libCcMSBuiltin.dylib: No such file or directory 

grep: 
/System/Library/Frameworks/CoreGraphics.framework/Resources/ 
libCMaps.dylib: No such file or directory 

grep: /System/Library/Frameworks/System.framework/System: No 
such file or directory 


因为 它 在 cache 里 ， 所 以 下 面 grep 一 通 decache 
出 的 文件 ， 如 下 : 


snakeninnys-MacBook:- snakeninny$ grep -r 

. kIMChatRegistryDidRegisterChatNotification 
/Users/snakeninny/Code/iOSSystemBinaries/8.1 iPhone5/ 

Binary file 
/Users/snakeninny/Code/iOSSystemBinaries/8.1 iPhone5//dyld s 
hared cache armv7s matches 

grep: 

/Users/snakeninny/Code/iOSSystemBinaries/8.1 iPhone5//System 


/Library/Caches/com.apple.xpc/sdk.dylib: Too many levels of 

symbolic links 

grep: 

/Users/snakeninny/Code/iOSSystemBinaries/8.1 iPhone5//System 
/Library/Frameworks/OpenGLES.framework/libLLVMContainer.dyli 
b: Too many levels of symbolic links 

Binary file 

/Users/snakeninny/Code/iOSSystemBinaries/8.1 iPhone5//System 
/Library/PrivateFrameworks/IMCore.framework/IMCore matches 


其 实 到 这 里 ， 相 信 你 也 能 猜 到 ，IMCore 与 
ChatKit 都 负责 与 信息 相关 的 操作 ， 但 IMCore 比 
Chatkit 2 JR, Chatkit#22!] #4 ait > 420 24IMCore 
完成 ，IMCore 完 成 的 结果 再 交 给 ChatKit 展 示 给 
F——MobileSMSzE EH, ChatKitzé tka i, 
IMCore 是 厨师 ， 这 么 比喻 ， 就 好 理解 多 了 吧 。 


接 下 来 ， 在 IDA 中 打开 IMCore， 全 文 搜 
7&*  kIMChatRegistryDidRegisterChatNotifi- 
cation", 4l Éd10-82P/ [7s ° 


JIMChatRegistry _registerChatDictionary-forChat:isincoming:newGUID:] 
JIMChatRegistry  registerChatDictionary:forChat:islIncoming:newGUID:] 
cstring:290BABE2 


— const:31241FDO 
_cfstring:312472E8 


图 10-82 ”在 IDA 里 搜 
7&*  kIMChatRegistryDidRegisterChatNotification" 


很 好 ， 直 接 双 击 第 一 条 搜索 结果 ， 看 看 它 的 
上 和 下文， 如 图 10-83 所 示 。 


看 到 “PostNotification”* 字 有 眼 ， 我 们 就 知道 了 ， 
ChatKit 收 到 的 那 条 notification 正 是 来 自 于 此 。 
IMChat 对 象 定 第 二 个 参数 ， 即 R3， 而 R3 来 目 
[SP#Ox98+var_60]。 还 记得 怎么 操作 吗 ? 还 是 以 
提示 图 (如 图 10-84 与 图 10-85 所 示 ) 代替 文字 ， 
请 读者 目 己 来 摸索 着 操作 吧 。 


g 
N 
d 
eo 
aec 
- 
N 
e 
m 


$(selRef defaultCenter ~ 0x29084252) ; selRef defaultCenter 
$(classRef NSNotificationCenter ~ 0x29084254) ; classRef NSNc 
PC ; selRef dofaultCenter 

PC ; classRef NSNotificationCenter 

(RO] ; "defaultCenter" 

[m ; .OBJC CLASS $ NSNotificationCenter 

1 


[SP,$0x98*var 48] 
objec 
Rl : (:lowerl6:(selRef___mainThreadPostNotificationName object ' 

2 


LIC 16:(selRef — mainThreadPostNotificationName object 
SP, #0x98+var_ 60] 
(cfstr___kimchatregis ~ 0x2908427C) ; ”| 
PC ; selRef . mainThreadPostNotifica 
[SP,$0x98*var 50] 
(Rl) ; " mainThreadPostNotificationNamo:object"... 
PC ; " kIMChatRegistryDidRoegistorChatNotification" 
(SP, #0x98+var_48) 
[SP, #0x98+var_98) 
_objc_msgSend 


图 10-83 ”查看 搜索 结 


[IMChatRegistry . re... 


-(IMChatRegistry re... 
-(IMChatRegistry re... 
-(IMChatRegistry re... 
-(IMChatRegistry re... 
J[IMChatRegistry re... 
J[IMChatRegistry re... 
-(IMChatRegistry re... 
-[IMChatRegistry . re... 
-(IMChatRegistry re... 
-(IMChatRegistry re... 
-(IMChatRegistry re... 
-(IMChatRegistry re... 
-(IMChatRegistry re... 
J[IMChatRegistry re... 
-(IMChatRegistry re... 
-(IMChatRegistry re... 
-(IMChatRegistry re... 
-(IMChatRegistry re... 


uz] xrefs to var 60 


R3, [SP#0x98+var_60] 
RO, [SP,0x98«var 60] 
R5, [SP,40x98-var 60] 
RO, [SP,#0x98+var_60] 

R8, [SP,40x98+var_ 60] 
R3, [SP.#0x98+var_60] 
R1, [SP,Z0x98«var 60] 
R3, [SP,#0x98+var_60} 
RO, [SP,40x98-var 60] 
RO, [SP,40x98-«var 60] 
RO, [SP,40x98-«var 60] 
R2, [SP,Z0x98-«var 60] 
R4, [SP,40x98-«var 60] 
R4, [SP,40x98-var 60] 
R2, [SP,f0x98-«var 60] 
R4, [SP,f0x98-«var 60] 
R2, [SP,#0x98+var_60} 
R2, [SP,f0x98-var 60] 
R3, [SP,40x98-var 60] 
RO, [SP.#0x98+var_60] 


图 10-84 查看 交叉 引用 


通过 上 面 的 分 析 可 知 ，IMChat 对 和 象 来 和 目 于 
[IMChatRegistry_registerChatDictionary:forChat:isI 
ncoming:newGUID:]H 28 — 1 Z2 9 XS ER ZU JR] 
用 者 如 下 : 


Process 248623 stopped 
* thread Z1: tid - Ox3cb2f, 0x33235944 
IMCore^  lldb unnamed function2048$$1MCore, queue = 
'com.apple.main-thread, stop reason - breakpoint 17.1 

frame 40: 0x33235944 
IMCore^ . lldb unnamed function2048$$1MCore 
IMCore . lldb unnamed function2048$$IMCore: 
-> 0x33235944: push ir4, r5, r6, r7, 1r} 

0x33235946: add r7, sp, #12 

0x33235948:  push.w (r8, r10, r11} 

0x3323594c: sub.w r4, sp, #64 
(lldb) po $r3 
«IMChat 0x147c7f30> [Identifier: snakeninnyQicloud.com GUID: 
iMessage;-;snakeninnyQicloud.com Persistent ID: 
snakeninnyQicloud.com Account: 26B3EC90-783B-4DEC -82CF- 
F58FBBB22363 Style: - State: 0 Participants: 1 Room Name: 
(null) Display Name: (null) Last Addressed: (null) Group ID: 
(null) Unread Count: 0 Failure Count: 0] 
(lldb) p/x $1r 
(unsigned int) $27 = 0x3323646f 


; void — cdecl -[IMChatRegistry _registerChatDictionary: forChat: isIncoming:newGUID: ] 
.WlMChatRegistry  registerChatDictionary forChat isIncoming newGUID _ 


-0x98 
-0x94 
-0x90 
-0x70 
-0x6C 
-0x68 
-0x64 
-0x60 
-0x5C 
-0x58 
-0x54 
-0x50 
-0x4C 
-0x48 
-0x34 
-0x30 
-0x2C 
-0x28 
-0x24 
-0x18 
8 

Oxc 


(RA-R7,LR) 

R7, SP, #0xC 
(R8,R10,R11) 

R4, SP, #0x40 

Rå, R4, #0xF 

SP, R4 

(D8-D11), [R4@128)! 
{D12-D15}, [R408128] 
SP, SP, #0x80 

R5, RO 

RO, f(selRef shouldRegisterChat ~ 0x29083972) ; selRef shouldRegis 
R3, [SP, #0x98+var 60] 


图 10-85 
[IMChatRegistry_registerChatDictionary:forChat:isI 


ncoming:newGUID:] 


LR 偏 移 前 的 值 是 0x3323646f- 
0xalb2000=0x2908446F， 这 个 地 址 位 于 


[IMChatRegistry. registerChat:isIncoming:guid: | 
中 。 继 续 : 


Process 248623 stopped 
* thread #1: tid = Ox3cb2f, 0x3323644c 
IMCore . lldb unnamed function2049$$1MCore, queue = 
'com.apple.main-thread, stop reason - breakpoint 20.1 
frame #0: 0x3323644c 

IMCore^ . lldb unnamed function2049$$1MCore 
IMCore^ . lldb unnamed function2049$$IMCore: 
-» 0x3323644c: push (r4, r5, r7, lrj 

0x3323644e: add r7, sp, £8 

0x33236450: sub sp, £8 

0x33236452: movw ri, #9840 
(lldb) po $r2 
«IMChat 0x15972f20» [Identifier: snakeninny@icloud.com GUID: 
iMessage;-;snakeninnyQicloud.com Persistent ID: 
snakeninnyQicloud.com Account: 26B3EC90-783B-4DEC-82CF- 
F58FBBB22363 Style: - State: O Participants: 1 Room Name: 
(null) Display Name: (null) Last Addressed: (null) Group 
ID: (null) Unread Count: © Failure Count: 0] 
(lldb) p/x $1r 
(unsigned int) $30 = 0x33237173 


LR (iit Hi AJE 0x33237173- 
0xalb2000=0x29085173， 这 个 地 址 位 于 
[IMChatRegistry chatForIMHandle:]H?, E. 
[IMChatRegistry. registerChat:isIncoming:guid: ]HJ 
第 一 个 参数 ， 即 IMChat 对 象 来 自 于 R5， 在 
[IMChatRegistry chatForIMHandle:] 的 最 后 阶段 ， 
R5 坪 以 返回 值 的 形象 出 现 鸭 。 也 驶 是 说 ， 
[IMChatRegistry chatForIMHandle: NXA Hai E] 
了 一 个 IMChat! 且 从 IMChatRegistry 的 名 字 来 
看 ， 殉 知道 这 个 类 负责 注册 登记 IMChat， 一 个 
IMChat 对 象 由 此 而 来 ， 合 情 合理 。 但 生 ， 解 次 了 
1 个 老 问 题 ， 市 来 了 2 个 新 问题 一 一 IMChatRegistry 
和 chatForIMHandle: 的 参数 从 哪里 来 ? 饭 要 一 口 一 
A Han, 3A qn] EE — HK © 1T7T 


IMChatRegistry.h (如 图 10-86 所 示 ) , FEM 
IMChatRegistry FF ° 


13 @interface IMChatRegistry : NSObject <NSFastEnumeratior> 


} 


NSMutableArray *_allChats; 

NSMutableDictionary * chatGUIDToCurrentThreadMap ; 
NSMutableDictionary * chatGUIDToInfoMap; 
NSMutableDictionary * chatGUIDToChatMap; 
NSMutableDictionary *_threadNameToChatMap ; 
NSMutableDictionary * chatGUIDToiMessageSentOrReceivedMap; 
NSMutableArray * allChatsInThreadNameMap; 
NSMutableArray * pendingQueries; 

NSMutableArray * waitingForQueries; 

NSString * historyModificationStamp; 

IMTimer * markAsReadTimer; 

double _timerStartTimeInterval ; 


BOOL _wantsHistoryReload; 

BOOL . postMessageSentNoti fications; 

unsigned int | defaultNumberOfMessagesToLoad; 
unsigned int .daemonUnreadCount ; 

long long .daemonLastFailedMessageID; 
NSUserActivity * userActivity; 


38 + (Class)messageClass; 

39 + (void)setMessageClass: (Class)argl1; 

40 + (Class)chatClass; 

41 + (void)setChatClass:(Class)arg1; 

42 + (Class)chatRegistryClass; 

43 + (void)setChatRegistryClass:(Class)arg1; 
44 + (id)sharedInstance; 


4410-86 IMChatRegistry.h 


其 中 ， 第 44 行 的 sharedInstance， 说 明 
IMChatRegistry 古 一 个 单 例 ， 通 过 调用 
[IMChatRegistry sharedInstance] 束 可 以 获取 到 它 的 
实例 。So easy ! 


那 chatForIMHandle: 的 参数 从 哪里 来 ? 目 然 是 
从 它 的 调用 者 那里 来 ， 继 续 用 LLDB 退 踩 吧 ， 如 
下 : 


Process 248623 stopped 
* thread #1: tid = Ox3cb2f, 0x33236d8c 
IMCore^ . lldb unnamed function2054$$1MCore, queue = 
'com.apple.main-thread, stop reason - breakpoint 21.1 
frame #0: 0x33236d8c 
IMCore . lldb unnamed function2054$$1MCore 
IMCore^ . lldb unnamed function2054$$IMCore: 
-» 0x33236d8c: push {r4, r5, r6, r7, 1r} 
0x33236d8e: add r7, sp, #12 
0x33236d90: str rii, [sp, #-4]! 
0x33236d94: sub sp, £20 
(lldb) po $r2 
[IMHandle: <snakeninny@icloud.com:<None>:cn> (Person: <No AB 
Match») (Account: P:+86PhoneNumber ] 
(lldb) p/x $1r 
(unsigned int) $32 = 0x30a8dca5 


LR 偏 移 前 的 值 是 0x30a8dca5- 
0xalb2000=0x268dbca5， 这 个 地 址 已 经 不 再 位 于 
IMCore 的 地 址 拖 围 内 了 。 刚 才 也 说 了 ， 现 在 正 不 
上 条 地 在 IMCore 和 ChatKit 间 徘徊 ， 正 好 ChatKit 的 
ASLR 偏 移 也 是 0xalb2000， 那 就 去 ChatKit 看 看 
0x268dbca5 在 不 在 它 里 面 ， 如 图 10-87 所 示 。 


图 10-87 [CKConversationL ist 


conversationForHandles:displayName:joinedChatsO 


nly:create: | 


0x268dbca547 T [CKConversationList 
conversationForHandles:displayName:joinedChatsO 


nly:create:] 内 部 ，chatForIMHandle: 的 参数 也 是 来 


E T [CKConversationList conversation 


ForHandles:display Name:joinedChatsOnly:create: ]A’J 
B— TBM o ARCA, OOP: 


Process 292950 stopped 
* thread #1: tid = 0x47856, 0x30a8dc60 ChatKit' - 


[CKConversationList 
conversationForHandles:displayName: joinedChatsOnly:create: ], 
queue = 'com.apple.main-thread, stop reason = breakpoint 1.1 


frame #0: Ox30a8dc60 ChatKit -[CKConversationList 

conversationForHandles:displayName: joinedChatsOnly:create: ] 
ChatKit'-[CKConversationList 
conversationForHandles:displayName:joinedChatsOnly:create:]: 
-» 0x30a8dc60: push {r4, r5, r6, r7, 1r} 

0x30a8dc62: add r7, sp, #12 

0x30a8dc64: sub sp, #8 

0x30a8dc66: mov re, ro 
(lldb) po $r2 
<__NSArrayM 0x178d2290>( 
[IMHandle: <snakeninny@icloud.com:<None>:cn> (Person: <No AB 
Match») (Account: P:+86PhoneNumber ] 


) 
(lldb) p/x $1r 
(unsigned int) $1 = 0x30a84efd 


LR (#4 Bii HJ IE x 0x30a84efd— 
0xalb2000=0x268d2efd， 这 个 地 址 位 于 


[CKTranscript-Controller sendMessage:] 中 ! ff! 


ER! 信 ! 吗 ! ATRA, MES) T EG, WA 
MERN, 2, WARTS o HRT EMAAR, OF 
看 看 ， 这 个 IMHandle 数 组 到 故 是 怎么 来 的 ， 如 图 
10-88 所 示 。 


R2, #1 


i #(:upperl6:(selRef conversationForHandles displa 
, [SP,fTOxAB8*var 80] 
, #0 


: PC ; selRef conversationForHandles displayName j 
7 (SP, #OxA8+var " A8] 
[R1] ; "conversationForHandles:displayName:join" 


, 
R2, (sp, #0xA8+var A4] 


A&l10-88 ”IMHandle 数 组 的 来 源 


R22 HR6, ROK H[SP,40xA8-var. 80] » FARK 
10-89 和 图 10-90 所 示 ) ， 请 读者 目 行 分 析 。 


b3] xrefs to var_80 


& Up w -CKTranscriptContr... RO, [SP,g0xAB8--var. 80] 


ux Up r  -[CKTranscriptContr... RO, [SP,Z0xAB8-«var 80] 
r -[CKTranscriptContr... R6, [SP,S0xAB-var 80] 


图 10-89 查看 交叉 引用 


R1, [RO] ; “alloc” 
RO, [R2] ; OBJC CLASS $ NSMutableArray 
“obje  msgSend 


RO, $(selRef count - 0x268D2DA6) ; selRef count 
RO, PC ; selRef .count 
R1, [RO] ; "count' 


R8 
-obje "bem 
R2, 
me #(selnef mgri me 一 QU" ; 
elRef _initwithCapaci 
“i [RO] ; "initWithCapacity: 
R6 


“objec | msgSe 
RO, [SP, CoA . 80] 


图 10-90 [CKTranscriptController sendMessage:] 


你 可 能 也 会 发 现 ， 这 里 的 情况 跟前 儿 次 不 一 
FÉ T ——“STR R0,[SP,#0xA8+var_80 了 ”貌似 只 是 往 
[SPB#0xA8+var_80] 里 存 了 一 个 初始 化 过 的 
NSMutableArray 而 已 啊 ! 说 好 的 IMHandle 呢 ? WE 
嘿 ， 既 然 是 一 个 NSMutableArray， 那 么 就 可 能 调 
用 addObject:， 往 里 面 加 东西 ， 所 以 图 10-89 里 中 
间 的 那 一 个 “LDR RO,[SP,#0xA8+var_80]”...... XXE 
跳 转 过 去 看 看 ， 如 图 10-91 所 示 。 


RO, [SP,#0xA8+var_ 84] 
R1, R8 
R3, #0 
 objc msgSend 
RO 


, 
RO, [SP,#0xA8+var 80] 
Rl, Ril 
_objc_msgSend 


果不其然 ， 它 是 一 个 addObject:， 而 且 通 过 倍 
单 观察 上 下 文 就 会 发 现 ，addObject: 的 参数 来 自 于 
imHandleWithID:alreadyCanonical:, Jf H Mix EN 
ZFA Le HOR, Ewe r —7 
IMHandle。 看 来 ， 我 们 的 IMHandle 有 者 洛 了 ! 在 
图 10-91 所 示 的 第 一 个 objc_msgSend 上 下 一 个 断 
点 ， 看 看 imHandleWithID:alreadyCanonical: 的 调用 
TX, WP: 


Process 343388 stopped 
* thread #1: tid = 0x53d5c, 0x30a84e98 ChatKit - 
[CKTranscriptController sendMessage:] + 516, queue = 
'com.apple.main-thread, stop reason - breakpoint 1.1 
frame 40: 0x30a84e98 ChatKit -[CKTranscriptController 

sendMessage:] + 516 
ChatKit' -[CKTranscriptController sendMessage:] + 516: 
-> 0x30a84e98: blx Ox30b3bf44 ; symbol 
stub for: MarcoShouldLogMadridLevel$shim 

0x30a84e9c: mov r2, ro 

0x30a84e9e: ldr ro, [sp, #40] 

0x30a84ea0: mov ri, r11 
(lldb) p (char *)$r1i 
(char *) $0 = Ox30b55fb4 "imHandlewithID:alreadyCanonical:" 
(lldb) po $ro 
IMAccount: 0x145e30d0 [ID: 26B3EC90-783B-4DEC-82CF- 
F58FBBB22363 Service: IMService[iMessage] Login: 
P:+86PhoneNumber Active: YES LoginStatus: Connected] 
(lldb) po $r2 
snakeninny@icloud.com 
(1ldb) p $r3 
(unsigned int) $3 - O 


2 个 参数 都 搞定 了 ， 第 1 个 就 是 iMessage 地 
址 ， 第 2 个 是 0 ( 即 BOOL 的 NO) ， 那 调用 者 ， 这 
个 IMAccount 对 象 是 哪里 来 的 呢 ? 如 图 10-91 所 
示 ，R0 来 目 [SP#0xA8+var_84]， 所 以 根据 提示 图 
10-92 和 图 10-93 可 知 ，IMAccount 对 象 来 自 


[[IMAccountController 


sharedInstance] ck defaultAccountForService: 


[CKConversation sendingService]] ° 


xrefs to var_84 


RO, [SP,40xAB--var. 84] 
RO, [SP.SOxAB-«var 84] 


图 10-92 ”查看 交叉 引用 


R1, [RO] ; "sharedInstance" 

RO, [R2] ; OBJC CLASS $ IMAccountController 

_objc_ms 

R1, $(:lowerl6:(selRef _ ck defaultAccountForService 
R2, R4 


Rl, #(:upperl6: (selRef ck_defaultAccountForService_ 
R1, PC ; selRef ck defaultAccountForService 
" ck defaultAccountForService:" 


_objc_msgSend 
RO, [SP,#0xA8+var 84] 


4410-93 [CKTranscriptController sendMessage:] 


趁 热 打铁 ， 在 图 10-93 的 第 2 个 objc_msgSend 
上 下 一 个 断 点 ， 看 看 [CKConversation 
sendingService]z&fT A, Jl P: 


Process 343388 stopped 
* thread #1: tid = 0x53d5c, 0x30a84e08 ChatKit' - 
[CKTranscriptController sendMessage:] + 372, queue = 
'com.apple.main-thread, stop reason = breakpoint 2.1 
frame #0: 0x30a84e08 ChatKit -[CKTranscriptController 

sendMessage:] + 372 
ChatKit' -[CKTranscriptController sendMessage:] + 372: 
-> 0x30a84e08: blx Ox30b3bf44 ; symbol 
stub for: MarcoShouldLogMadridLevel$shim 

0x30a84e0c: str ro, [sp, #36] 

0x30a84e0e: movw ro, #23756 

0x30a84e12: add r2, sp, #44 
(lldb) p (char *)$r1i 
(char *) $4 = Ox30b55f95 " ck defaultAccountForService:" 
(lldb) po $r2 
IMService[iMessage ] 
(lldb) po [$r2 class] 
IMServiceImpl 


可 见 ， 它 是 一 个 IMServiceImpl 对 象 ， 那 在 我 
们 目 己 的 代码 中 ， 该 如 何 得 到 这 样 一 个 
IMServiceImpl*] RIE? 其 实在 10.2 世 中 已 经 拿 到 


这 个 类 的 对 象 了 ， 打 开 IMServiceImpl.h， 如 图 10- 
94 所 示 。 


D «| IMServicelmpl.h (~/Code/iOSPrivateHeaders/8.1 


50 + (I00LJaystenSupportsSendingAttacimentsOF Types : Cid)argi error:(int *)arg?; 


edCount 
53 4 Cid)operational Servicesiti thCapobility: Cunsigned long long)argl; 
54 + (id)connectedServicesWithCapability:(unsigned long long)argl; 
55 + (id)servicesWithCapability:(unsigned long long)argi; 
56 + Cid)connectedServices; 
57 + (id)activeServices; 
58 + Cid)servi cei thInternalName: Cid)argil; 


62 + (void)setServiceClass:(Class)argl; 
63 + (Class)serviceClass; 


图 10-94 IMServiceImpl.h 


其 中 的 [IMServiceImpl iMessageService] i 
了 。 用 Cycript 再 次 确认 ， 如 下 : 


cy# [IMServiceImpl iMessageService] 
#"IMService[iMessage]" 


到 此 为 止 ， 一 个 可 用 的 IMChat 关 是 如 何 生成 
的 ， 侯 我 们 完整 地 敢 回 了 出 来 。 下 面 在 Cycript 里 


验证 一 下 可 行 性 ， 如 下 : 


FunMaker-5:~ root# cycript -p MobileSMS 

cy# service = [IMServiceImpl iMessageService] 
#"IMService[iMessage]" 

cy# account = [[IMAccountController sharedInstance] 
__ck_defaultAccountForService: service ] 

#"IMAccount: 0x145e30d0 [ID: 26B3EC90-783B-4DEC-82CF- 
F58FBBB22363 Service: IMService[iMessage] Login: 
P:+86PhoneNumber Active: YES LoginStatus: Connected]" 

cy# handle = [account 
imHandleWithID:Q"snakeninnyQicloud.com" alreadyCanonical:NO] 
#"[IMHandle: <snakeninny@icloud.com:<None>:cn> (Person: «No 
AB Match») (Account: P:+86 MyPhoneNumber ]" 

cy# chat = [[IMChatRegistry sharedInstance] 
chatForIMHandle:handle] 

#"<IMChat 0x15809000» [Identifier: snakeninny@icloud.com 
GUID: iMessage;-;snakeninnyQicloud.com Persistent ID: 
snakeninnyQicloud.com Account: 26B3EC90-783B-4DEC -82CF- 
F58FBBB22363 Style: - State: 3 Participants: 1 Room 
Name: (null) Display Name: (null) Last Addressed: (null) 
Group ID: 6592DD84-4B34-4D54-BB40-E2AB17B2FC67 Unread 
Count: © Failure Count: 0]" 


完美 ! 最 后 的 任务 ， 束 是 构造 一 个 可 用 有 的 
IMMessage 对 象 ， 这 样 束 可 以 实现 iMessage 的 发 送 
了 ， 这 束 行 动 起 来 | 


打开 IMMessage.h， 如 图 10-95 所 示 。 


13 finterfoce DMtessage : NSObject «NSCopying» 
"T 
i e * sender; 
IMHondle * subject; 
NSAttributedString *_ d 


NSAttributedstring MH 
NSArray * fileTransferGUIDs 

NSError * error; 

unsigned long long _flogs; 

BOOL .isInvitotiorMessage; 

long long .messogelD; 


32 * (à td)mes ssageF romIMMes sogeltemDt ctionary: Ciddorgt sender : Cid)arg2 subject: (id)arg3; 
$ 1 i :Cid)arg3; 
flags: : igned long long)org4 


d)org2 flogs:(unsigned Hh long)arg3; 
37 + (Ad)instantMes : igned long long)arg?; 
38 + (i id)defoultInvi tati :Cid)orgl flags:(unsigned long long)org?; 
b pasate opem um id:(id)orgl e ror: (id)org?; 
40 + (id)messagelfithLocation:(id)orgl flags:(unsigned long long)org2 error:(id)org3 guid:(id)org^; 
41 + Cid) vCardDataifi thOLLocation: (id)argi ; 


4410-95 IMMessage.h 


Me HER TIE, H 
"P "instantMessageWithText:flags:"5 | #2 T KA JANIE 
意 ， 这 2 个 参数 应 该 各 传 什么 ? 针对 第 一 


个 “text” 传 一 个 NSString 进 FHER, HER 
flags"? 不 知道 你 还 有 没有 印象 ， 在 本 节 的 


前 面 ， 当 我 们 找到 [IMChat sendMessage: 


IMMessage] 时 ， 曾 在 LLDB 中 打印 出 了 一 个 
IMMessageB 255, "ll P: 


(lldb) po $r2 

IMMessage[from=(null); msg-subject=(null); account: 
(null);flags-100005; subject='<< Message Not Loggable >>' 
text-'««Message Not Loggable >>' messageID: 0 

GUID: '966C2CD6 -3710-4D0F -BCEF -BCFEE8E60FE9' 

date: '437730968.559627' date-delivered:'0.000000' date- 
read: '0.000000' date-played:'0.000000' empty: NO finished: 
YES sent: NO read: NOdelivered: NO audio: NO played: NO 
from-me: YES emote: NOdd-results: NO dd-scanned: YES error: 
(null) ] 


这 里 的 “text”* 无 法 显示 ， 而 “flags” 是 100005。 
在 Cycript 中 试 试 ， 如 下 : 


cy# [IMMessage instantMessageWithText:Q"iOSRE test" 
flags:100005] 

-[. NSCFString string]: unrecognized selector sent to 
instance 0x1468c140 


Cycript 告 诉 我 们 ，NSString 不 能 啊 应 
(@selector(string)， 世 就 是 说 ， 第 一 个 参数 并 不 是 
一 个 NSString 对 象 ， 正 确 类 型 上 参数 应 该 是 可 以 


Ha] 3x T @selector(string)Ay) ° Haw R1 10-95, 
看 看 能 不 能 找 出 一 些 蛛 丝 马 迹 。 注 意 到 第 17 行 
HJ*NSAttributedString* text” [ I2? [ERE JI 
提供 的 文档 ，NSAttributedString 确 实 有 一 个 “- 


(NSString*)string” 方 法 ， 如 图 10-96 所 示 。 


@ NSAttributedString Class Reference ^ = Ret 


string 


The character contents of the receiver as an NSSt ring object. (read-only) 


Declaration 


var string: String { get } 


OBJECTIVE-C 


@property(readonly, copy) NSString xstring 


图 10-96 [NSAttributedString string] 


重新 笑 试 传 一 个 NSAttributedString 对 和 象 进去 
试 坛 ， 如 下 : 


cy# attributedString = [[NSAttributedString alloc] 
initWithString:@"i0SRE test" ] 

4"iOSRE test{\n}" 

cy# message = [IMMessage 
instantMessageWithText:attributedString flags:100005] 
#"IMMessage[from=(null); msg-subject=(null); account: 
(null);flags-186a5; subject='<< Message Not Loggable >>' 
text='<<Message Not Loggable >>' messageID: 0 
GUID:'00A8C645-D207-4F93-9739-07AAC94E7465' 
date:'437812476.099226' date-delivered:'0.000000' date- 
read:'0.000000' date-played:'0.000000' empty: NO finished: 
YES sent: YES read:NOdelivered: NO audio: NO played: NO 
from-me: YES emote: NOdd-results: YES dd-scanned: NO error: 
(nu11)]" 

cy# [attributedString release] 


这 里 成 功 构 造 了 一 个 IMMessage 对 象 。 接 下 
来 ,“ 这 是 我 生命 中 美好 的 时 刻 ， 我 要 完成 我 最 可 
欢 的 测试 ， 在 这 美丽 的 月 光 下 在 这 美丽 的 Cycript 


cy# [chat sendMessage:message | 


效果 如 图 10-97 所 示 。 打 完 收 工 ! 


ececc 中 国联 通 F 14:45 © 100% EE 4 


< snakeninny@icloud.com Details 


iMessage 
Today 14:41 


iOSRE test 


Delivered 


110-97 成 功 发 送 iMessage 


10.4 3 [n]Z5 RE RH 


相对 于 前 几 意 的 示例 来 说 ， 本 章 展 示 的 敢 癌 
工程 的 整体 思路 虽 未 变 ， 但 复杂 程度 增 大 了 不 
少 ， 尤 其 是 与 同 为 系统 App 的 第 7 草 Notes 相 比 ， 两 
者 的 难度 相 老 了 符 干 数量 级 。 为 了 诸 回 出 看 似 很 
简单 的 iMessage 检 测 和 发 送 操作 ， 大 致 鸭 思 路 是 
下 面 这 样 的 。 

(1) 从 表面 现象 入 手 

“Text Message” 变 成 *iMessage”， 绿 色 变 成 蓝 

E, “Send” 按 钮 ， 这 些 表 层 现象 都 来 目 于 龙 层 代 


码 。 只 要 能 搬 述 出 所 观 绎 到 的 东西 ， 丈 可 以 以 此 
入 手 ， 开 始 逆 同 分 机。 本 章 ， 束 是 从 信息 输入 框 


的 占 位 符 和 *Send” 按 钮 人 手 ， 通 过 Cycript 定 位 到 
其 实现 代码 ， 并 切入 代码 层 的 。 


(2) 浏览 class-dump 出 的 头 文 件 ， 找 到 感 兴 
EB EIS] A, 


Objective-C 头 文件 结构 请 晰 ， 函 数 名 的 含义 
明确 ， 可 读 性 强 ， 是 寻找 蛛丝马迹 的 理想 场所 。 
用 Cycript 对 那些 简单 的 函数 、 属 性 、 实 例 变量 做 
测试 ， 有 助 于 我 们 对 类 的 功能 有 大 体 了 解 。 本 
章 ， 在 获取 一 些 重要 变量 的 时 候 ， 并 没有 严谨 地 
fS BJIDAFILLDBIX MIEKKA, ID ED BE 
AUTE, THAN JMB AN RB SAE, BCA 
Cycriptit {TW EX, BAA Ga I RAGBUANOR o NU 
Až, JENE S wie 4K ° 


(3) EIDA FAA RCE UA xT 


在 查看 函数 内 部 实现 时 ，IDA 无 疑 是 最 好 用 
的 神 万 之 一 。 不 管 是 通过 交叉 引用 、 地 址 跳 权 ， 
还 是 全 局 搜索 ， 部 可 以 快速 定位 关键 词 ， 并 方便 
地 浏 咒 上下文， 对 天 键 词 的 前 因 后 来 有 准确 的 把 
握 。 在 检测 iMessage 时 ， 我 们 用 IDA 理 顺 了 
[CKMessageEntryView updateEntry View | ^ 
[CKPendingConversation sendingService] ^ 
[CKPendingConversation composeSendingService] 
THIMChatCalculateServiceForSendingNewCompose 
AVA KA, HP 
IMChatCalculateServiceForSendingNewComposezé 
—SCEHRL, »X[fclass-dumpfeJ€; 在 发 送 iMessage 
hr. MN ERRHBJ[CKTranscriptController 


sendComposition:CKComposition], — E 

[CK TranscriptController_startCreatingNewMessageF 
orSending:| ` [CKConversation 
sendMessage:newComposition:| ` [CKConversation 
sendMessage:onService:newComposition:], JERE 
T HER BS[IMChat sendMessage:IMMessage]， 都 是 
依 徘 IDA 提 供 的 天 键 词 及 关联 性 从 一 个 面 中 ， 手 
工地 把 那 条 线 给 挑 出 来 的 。 虽 然 没 有 有 机 器 目 动 完 
成 方便 ， 但 工作 量 也 完全 在 可 以 接受 的 范围 内 ， 
这 部 要 归功 于 IDA 提 供 的 强大 分 析 结 琳 。 


(4) 用 LLDB 确 认 唯 一 的 那 条 线 


LLDB 的 使 用 贯穿 本 章 的 始终 ， 即 使 是 在 有 
意 “ 殉 制 * 的 10.3 广 ， 我 们 也 在 寻找 函数 调用 者 、 
动态 查看 参数 的 时 候 “ 不 得 不 ”惊动 LLDB 它 “老人 


家 ”。 相 对 于 GDB，LLDB 对 iOS 的 支持 要 好 得 

多 ， 基 本 不 会 出 现 朋 省 等 Bug， 对 于 Objective-C 的 
文 持 也 很 到 位 ， 让 我 们 可 以 专注 在 调试 本 身上 。 
在 进行 iMessage 的 检测 及 发 送 的 环节 中 ， 用 LLDB 
澄清 了 大 量 细 站， 通过 对 数据 源 一 环 扣 一 环 的 分 
析 ， 基 本 厘清 了 iOS 发 送 iMessage 的 一 小 段 流程 。 
由 小 见 大 ， 从 中 也 可 以 笑 探 出 苹果 的 设计 思路 : 
MobileSMS 是 一 间 邮 局 ， 邮 局 的 建筑 材料 、 办 公 
设备 和 工作 人 员 均 来 自 ChatKit， 而 充当 邮差 工作 
的 是 IMCore。 用 户 去 邮局 发 一 封 信 ， 他 把 信件 放 
在 邮 简 里 ， 由 工作 人 员 整 理 后 交付 给 邮差 ， 送 信 
的 进度 和 结果 再 由 邮差 反馈 给 工作 人 员 ， 工 作 人 
员 再 通知 用 户 ， 这 样 束 完 成 了 整个 的 服务 流程 闭 
环 。 三 者 各 司 其 职 ， 为 采 粉 市 来 展 好 的 用 户 体 
验 ， 我 们 通过 逆向 工程 学 习 到 的 这 种 设计 思路 ， 


如 采 能 融会 贯通 ， 运 用 到 目 己 的 产品 设计 里 去 ， 
给 产品 所 带 来 的 优雅 度 、 设 计 感 、 健 壮 性 都 将 是 
仅仅 阅读 开发 文档 所 无 法 企及 的 。 


10.5 ”编写 tweak 


在 使 用 Cycript 完 成 核心 功能 的 测试 后 ， 用 
Theos25 5 (CHS SU DC DO f] ER PIT 71218] D. 9 AK 
节 ， 束 用 最 直观 的 代码 ， 给 MobileSMS 中 的 
SMSApplication 类 添加 2 个 实例 函数 ， 分 别 是 “- 
(int)madridStatusForA ddress: 
(NSString*)address” #1 “-(void)sendMadridMessage 
ToAddress:(NSString* )address withText: 
(NSString*)text”"， 然 后 用 Cycript 测 试 这 2 个 类 函数 
的 有 效 性 。 开 始 行 动 ! 


10.5.1 用 Theos 新 建 tweak 工 
程 5iOSREMadridMessenger” 


Ht ELOS REMadridMessenger_L TZÉ ME All 
下 : 


snakeninnys-MacBook:Code snakeninny$ /opt/theos/bin/nic.pl 
NIC 2.0 - New Instance Creator 


[1.] iphone/application 

[2.] iphone/cydget 

[3.] iphone/framework 

[4.] iphone/library 

[5.] iphone/notification center widget 
[6.] iphone/preference bundle 

[7.] iphone/sbsettingstoggle 

[8.] iphone/tool 

[9.] iphone/tweak 


[10.] iphone/xpc service 
Choose a Template (required): 9 
Project Name (required): iOSREMadridMessenger 
Package Name [com.yourcompany.iosremadridmessenger |: 
com.iosre.iosremadridmessenger 
Author/Maintainer Name [snakeninny]: snakeninny 
[iphone/tweak] MobileSubstrate Bundle filter 
[com.apple.springboard]: com.apple.MobileSMS 
[iphone/tweak] List of applications to terminate upon 
installation (space-separated, '-' for none) 
[SpringBoard]:MobileSMS 
Instantiating iphone/tweak in iosremadridmessenger/... 
Done. 


10.5.2 ”构造 /OSREMadridMessenger.h 


在 10.2 市 的 检测 及 10.3 节 的 发 送 中 ， 用 到 了 私 
有 框架 IDS、ChatKit 和 IMCore 中 的 多 个 私有 类 和 
私有 辑 数 ， 我 们 必须 给 出 它们 的 定义 ， 才 能 避免 
编译 需 报 错 或 警告 。 当 然 ， 
iOSREMadridMessengerh 的 内 容 并 不 是 凭空 构造 
出 来 的 ， 所 有 的 定义 均 来 自 于 class-dump 出 的 头 文 
件 ， 我 们 只 是 把 用 到 的 东西 挑选 出 来 ， 再 整合 到 
一 个 头 文件 里 而 已 一 一 我 们 构造 的 只 是 一 个 “ 铺 选 
头 文件 ”*”。 编 辑 后 的 OSREMadridMessenger.h 内 容 
如 下 : 


Qinterface IDSIDQueryController 

* (instancetype)sharedInstance; 

- (NSDictionary *) currentIDStatusForDestinations: 
(NSArray*)argi service:(NSString *)arg2 listenerID:(NSString 
*)arg3; 

@end 

@interface IMServiceImpl : NSObject 

+ (instancetype)iMessageService; 

@end 

@class IMHandle; 

@interface IMAccount : NSObject 

- (IMHandle *)imHandleWithID:(NSString *)argi 
alreadyCanonical: (BOOL)arg2; 


Qend 

Qinterface IMAccountController : NSObject 

* (instancetype)sharedInstance; 

- (IMAccount *) ck defaultAccountForService: 
(IMServiceImpl*)arg1; 

Qend 

Qinterface IMMessage : NSObject 

* (instancetype)instantMessageWithText: 
(NSAttributedString*)argi flags:(unsigned long long)arg2; 
Qend 

Qinterface IMChat : NSObject 

- (void)sendMessage:(IMMessage *)arg1; 

@end 

@interface IMChatRegistry : NSObject 

+ (instancetype)sharedInstance; 

- (IMChat *)chatForIMHandle: (IMHandle *)arg1; 
@end 


10.5.3 ”编辑 Tweak.xm 


编辑 后 的 Tweak.xm 内 容 如 下 : 


#import "iOSREMadridMessenger.h" 

%hook SMSApplication 

?6new 

- (int)madridStatusForAddress:(NSString *)address 


NSString *formattedAddress - nil; 
if ([address rangeOfString:@"@"].location != 
NSNotFound) formattedAddress = [@"mailto:" 
stringByAppendingString:address]; 
else formattedAddress = [@"tel:" 
stringByAppendingString:address]; 

NSDictionary *status = [[IDSIDQueryController 
sharedInstance] current 
IDStatusForDestinations:Q[formattedAddress] 
service:Q"com.apple.madrid" listenerID: 


Q"  kIMChatServiceForSendingIDSQueryControllerListenerID"]; 
return [status[formattedAddress] intValue]; 
} 


?6new 
- (void)sendMadridMessageToAddress:(NSString *)address 
withText:(NSString *)text 
{ 
IMServicelmpl *service = [IMServiceImpl 
iMessageService]; 
IMAccount *account - [[IMAccountController 
sharedInstance] _ ck defaultAccountForService:service]; 
IMHandle *handle - [account imHandleWithID:address 
alreadyCanonical:NO]; 
IMChat *chat = [[IMChatRegistry sharedInstance ] 
chatForIMHandle:handle]|; 
NSAttributedString *attributedString - 
[[NSAttributedString alloc] initWithString: text]; 
IMMessage *message = [IMMessage 
instantMessageWithText:attributedString flags: 100005]; 
[chat sendMessage:message]; 
[attributedString release]; 


%end 


10.5.4 2m *&Makefile Æ control 


编辑 后 的 Makefile 内 容 如 下 : 


THEOS DEVICE IP = iOSIP 

ARCHS = armv7 arm64 

TARGET = iphone: latest:8.0 

include theos/makefiles/common.mk 

TWEAK NAME = iOSREMadridMessenger 

iOoSREMadridMessenger FILES = Tweak.xm 
iOoSREMadridMessenger PRIVATE FRAMEWORKS = IDS ChatKit IMCore 
include $(THEOS MAKE PATH)/tweak.mk 


after-install:: 
install.exec "killall -9 MobileSMS" 


编辑 后 的 control 内 容 如 下 : 


Package: com.iosre.iosremadridmessenger 

Name: iOSREMadridMessenger 

Depends: mobilesubstrate, firmware (»- 8.0) 
Version: 1.0 

Architecture: iphoneos-arm 

Description: Detect and send iMessage example 
Maintainer: snakeninny 

Author: snakeninny 

Section: Tweaks 

Homepage: http://bbs.iosre.com 


10.5.5 Hi Cycriptillll iX 


将 写 好 的 tweak 编 译 打 包 安 竣 到 iOS 后 ， 执 行 
ssh 命 令 连 接 到 iOS 中 ， 然 后 执行 如 下 代码 : 


FunMaker-5:~ root# cycript -p MobileSMS 
cy# [UIApp madridStatusForAddress:Q" snakeninnyQicloud.com"] 
1 


cy# [UIApp 
sendMadridMessageToAddress:Q" snakeninnyQicloud.com" 
withText:@"Sent from iOSREMadridMessenger"] 


“snakeninny@icloud.com” 的 检测 结果 是 1， 文 
持 iMessage， 且 此 条 iMessage 被 成功 发 送 ， 如 图 


10-98 所 示 。 


see00 中 国联 通 v 21:57 9 987; MEM 


< snakeninny@icloud.com Details 


iMessage 
Today 21:57 


Sent from 
iOSREMadridMessenger 
Delivered 


110-98 ”成 功 发 送 iMessage 


如 采 你 按照 上 面 的 思路 和 方法 成 功 搞 定 了 
iMessage 的 检测 和 发 送 ， 束 


25 “snakeninny@gmail.com”  —2&iMessagell ! 


10.6 ^ 


作为 乎 采 在 iDOS 5 之 后 重点 打造 的 核心 服务 之 
一 ，iMessage 有 的 功能 在 iOS 8 中 得 到 了 大 幅度 增 
wa, 不管 是 单纯 的 文字 ， 还 是 多 媒体 照搬 、 语 
首 ， 甚 至 是 视频 ，iMessage 都 能 完美 地 hold 住 。 本 
章 的 iMessage 检 测 与 发 送 虽 然 仅 仅 是 所 有 iMessage 
操作 的 冰山 一 角 ， 但 都 已 经 要 在 IDS、ChatKit 和 
IMCorej 文 3 个 模块 间 来 回 切换 了 ， 可 见 整个 
iMessage 系 统 的 复杂 度 之 高 。 从 上 面 的 分 析 过 程 
中 可 知道 ， 负 责 管理 iMessage 发 件 人 的 是 
IMAccountController， 作 为 发 送 人 的 我 们 是 一 个 
个 IMAccount; 收 件 人 是 一 个 IMHandle; 一 条 对 
ids — 1 IMChat#%CK Conversation; 
IMChatRegistry 管 理 所 有 的 对 话 ; — iMessage 


是 一 个 IMMessage 或 CKComposition。 对 于 那些 有 
意 涉 足 即 时 通信 的 开发 者 来 说 ，iMessage 的 这 些 
设计 方式 非常 值得 借鉴 。 如 末 你 对 iMessage 很 感 
兴趣 ， 觉 得 本 章 的 内 容 仍 意犹未尽 ， 不 妨 竹 试 分 
析 笔 者 留 下 的 下 面 3 个 “隐藏 天 卡 ”， 它 们 由 吻 到 
难 ， 运 用 本 章 的 所 用 到 的 提问 电路 和 技巧 ， 驳 可 
以 各 个 击破 。 


-搞定 SMS 的 发 送 (提示 : 只 要 更 换 
IMServiceImpl 对 象 即 可 ) ; 


.用 ChatKit 类 搞定 iMessage 发 送 (提示 : 
CKConversation 对 象 可 以 由 IMChat 对 象 生 成 ) ; 


.把 发 送 iMessage 的 操作 移植 到 SpringBoard; 进 
程 中 GED: 在 SpringBoard 中 调用 [IMChat 


sendMessage:IMMessage] 之 所 以 无 歼 ， 是 因为 
SpringBoard 缺 少 某 种 “capabilities”) 


如 果 本 章 的 内 容 你 能 完全 吃透 ， 并 “ 脱 稿 " 完 
K, PARE, (OA EB ILI NIOSH mI. 
程 师 了 ， 可 以 朝 着 更 高 的 目标 《比如 越狱 ?” ) X3 
进 了 。 在 开始 狐 的 征程 前 ， 先 来 我 们 的 论坛 
http://bbs.iosre.com， 与 各 位 同好 分 译 这 份 喜 昼 

m | 


越狱 开发 一 览 


Much has been said about Apple's closed 
approach to selling devices and running an app 
platform.But what few know is that behind closed 
doors there's a massive ecosystem of libraries and 
hardware features waiting to be unlocked by 
developers. All of the APIs Apple uses internally to 
build their services,applications,and widgets are 
available once the locks are broken via a process 
called jailbreaking.Most of them are written in 
Objective-C,a dynamic language that provides very 
rich introspection capabilities and has a culture of 
self-describing code.Further tearing down 


barriers,most people install something called 


CydiaSubstrate shortly after jailbreaking,which 
allows running custom code inside every existing 
process on the device.This is very powerful—not 
only have we broken out of the walled garden into 
the rest of the forest,all of the footpaths are already 
labeled.Building code that targets jailbroken iOS 
devices involves unique ways of inspecting 
APIs,injecting code into processes,and writing code 
that modifies existing classes and finalized behaviors 


of the system. 


The APIs implemented on iOS can be divided 
into four categories:framework-level Objective-C 
APIs,app-level Objective-C classes,C-accessible 


APIs and JavaScript-accessible APIs.Objective-C 


frameworks are the most easily accessible.Normally 
the structure of a component is only accessible to the 
programmer and those the source code or 
documentation have been made available to,but 
compiled Objective-C binaries include method tables 
describing all of the classes,protocols,methods and 
instance variables contained in the binary.An entire 
family of*class-dump"tools exists to take these 
method tables and convert them to header-like output 
for easy consumption by adventurous 
programmers.Calling these APIs is as simple as 
adding the generated headers to your project and 
linking with the framework or library. The second 
category of app internal classes may be inspected via 


the same tools,but are not linkable via standard 


tools. To get to those classes,one has to have code 
injected into the app in question and use the 
Objective-C runtime function objc getClass to get a 
reference to the class;from there,one can call APIs 
via the headers generated by the tool.Inspecting C- 
level functions are more difficult. No information 
about what the parameters or data structures are 
baked into the binaries,only the names of exported 
functions.The developer tools that ship with OS X 
come with a disassembler named" otool"which can 
dump the instructions used to implement the code in 
the device.Paired with knowledge of ARM 
assembly,the type information can be reconstructed 
by hand with much effort. This is much more 


cumbersome than with Objective-C 


code.Luckily,some of the components implemented 
in C are shared with OS X and have headers available 
in the OS X SDK,or are available as open-source 
from Apple.JavaScript-level APIs are most often 
facades over Objective-C level APIs to make 
additional functionality accessible to web pages 
hosted inside the iTunes, App Store,iCloud and iAd 


sections of the operating system. 


Putting the APIs one has uncovered to use often 
requires having code run inside the process where 
their implementations are present.This can be done 
using the DYLD INSERT LIBRARIES 
environment variable on systems that use dyld,but 


this facility offers very few provisions for crash 


protection and can easily leave a device in a state 
where a restore is necessary.Instead,the gold standard 
on iOS devices is a system known as Cydia 
Substrate,a package that standardizes process 
injection and offers safety features to limit the 
damage testing new code can do.Once Cydia 
Substrate is installed,one needs only to drop a 
dynamic library compiled for the device 
in/Library/MobileSubstrate/DynamicLibraries,and 
substrate will load it automatically in every process 
on the device.Filtering to only a specific process can 
be achieved by dropping a property list of the same 
name alongside it with details on which process or 
grouping of processes to filter to.Once inside,one can 


register for events,call system APIs and perform any 


of the same behaviors that the process normally 
could.This applies to apps that come preinstalled on 
the device,apps available from the App Store,the 
window manager known as SpringBoard,UI services 
that apps can make use of such as the mail 
composer,and background services such as the media 
decoder daemon.It is important to note that any state 
that the injected code has will be unique to the 
process it's injected into and to share state mandates 
use inter-process communication techniques such as 


sockets,fifos,mach ports and shared memory. 


Modifying existing code is where it really starts 
to get powerful and allows tweaking existing 


functionality of the device in simple or even radical 


ways.Because Objective-C method lookup is all done 
at runtime and the runtime offers APIs to modify 
methods and classes,it is really straightforward to 
replace the implementations of existing methods with 
new ones that add new functionality,suppress the 
original behavior or both.This is known as method 
hooking and in Objective-C is done through a 
complicated dance of calls to the 

class addMethod,class getInstanceMethod,method - 
getImplementation and method, setImplementation 
runtime functions.This is very unwieldy;tools to 
automate this have been built. The simplest is Cydia 
Substrate's own MSHookMessage function.It takes a 
class,the name of the method you want to replace,the 


new implementation,and gives back the original 


implementation of the function so that the 
replacement can perform the original behavior if 
necessary. This has been further automated in the 
Logos Objective-C preprocessor tool,which 
introduces syntax specifically for method hooking 
and is what most tweaks are now written in.Writing 
Logos code is as simple as writing what would 
normally be an Objective-C method 
implementation,and sticking it inside of a%hook 
ClassName...%end block instead of 
an@implementation ClassName...%end block,and 
calling96orig() instead of[super...].Simple tweaks to 
how the system behaves can often done by replacing 
a single method with a different implementation,but 


complicated adjustments often require assembling 


numerous method hooks.Since most of iOS is 
implemented in Objective-C,the vast majority of 
tweaks need only these building blocks to apply the 
modifications they require.For the lower levels of the 
system that are written in C,a more complicate 
hooking approach is required.The lowest level and 
most compatible way of doing so is to simply rewrite 
the assembly instructions of the victim function.This 
is very dangerous and does not compose well when 
many developers are modifying the same parts of the 
system. Again, CydiaSubstrate introduces an API to 
automate this in form of MSHookFunction.Just like 
MSHookMessage,one needs only to pass in the target 
function,new replacement implementation 


function,and it applies the hook and returns the old 


implementation that the new replacement can call if 
necessary.With the tools the community has made 
available,the details of the very complex mechanics 
of hooking have been abstracted and simplified to the 
point where they’re hidden from view and a 
developer can concentrate on what new features 


they're adding. 


Combining these techniques unique to the 
jailbreak scene,with those present in the standard iOS 
and OS X development communities yields a very 
flexible and powerful tool chest for building features 


and experiences that the world hasn't seen yet. 


(关于 芋 果 的 封闭 性 可 谓 路 人 篆 知 。 但 其 
这 局 上 紧 闭 的 大 | ] 表 后 有 不 计 其 数 的 宝藏 在 等 行 
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内 部 使 用 的 所 有 API， 而 让 它们 重见天日 的 过 程 
就 是 越狱 。 这 些 API 中 的 大 多 数 都 是 使 用 

一 | | 动态 性 强 、 语 义 清晰 的 语言 
一 一 编写 的 。 越 狱 之 后 ， 为 了 进一步 扩展 iDevice 
的 功能 ， 绝 大 多 数 人 都 会 安装 CydiaSubstrate， 它 
使 我 们 能 够 在 其 他 进程 中 运行 目 己 编写 的 代码 。 
它 的 意义 非 比 寻 利 一 一 我 们 不 但 破除 了 平 末 的 限 
制 ， 还 能 够 以 其 人 之 道 ， 还 治 其 人 之 号 ! 越狱 iOS 
开发 与 普通 的 App Store 开 发 不 尽 相 同 ， 它 需要 你 
去 探索 API 的 用 法 ， 把 代码 注入 别 的 进程 ， 修 改 
现 有 的 类 ， 最 终 达 到 改变 系统 行为 的 目的 。 


Objective-C 


iOS 调 用 的 API 可 以 分 为 4 类 : framework 使 用 
的 Objective-C API、App 使 用 的 Objective-C API、 


C API 和 JavaScript API， 其 中 framework 层 面 的 API 
是 最 容易 使 用 的 。 一 般 情况 下 ， 一 个 程序 的 设 

计 、 人 代码、 文档 只 为 少数 人 所 有 ， 但 经 过 编译 的 
Objective-C 二 进 制 文 件 中 舍 有 所 有 的 类 、 协 议 、 
方法 和 实例 变量 信息 , “class-dump” 大 家 族 的 工具 
可 以 把 这 些 信 息 寻 出 来 ， 形 成 头 文 件 ， 供 那些 好 
奇 的 开发 者 研究 并 调用 。App 使 用 的 APIH 以 通过 
同样 的 方式 导出 ， 但 不 能 直接 调用 。 这 时 ， 可 以 
把 代码 注入 对 应 的 进程 里 ， 然 后 调用 Objective-C 
的 运行 时 函数 objc_getClass 来 获取 一 个 类 的 对 

象 ， 进 而 调用 类 方法 。C API 束 要 复杂 一 点 ， 没 有 
class-dump 这 样 的 工具 把 C 芳 数 的 参数 和 数据 结构 
给 导出 来 ， 能 找到 的 只 有 导出 尔 数 的 函数 名 ; 但 
和 是， 利用 OSX 目 市 的 反 汇 编 工 具 otool， 绪 合 一 些 
ARM 沪 编 语言 的 知识 ， 我 们 可 以 手动 分 析 ， 还 原 


CHARIRI, AMEE P rObjective-C77 15 9€ 
复杂 得 多 。 幸 运 的 是 ，iOS 中 的 C 实 现 与 OSX 是 音 
分 相通 的 ， 有 一 些 C 芳 数 的 尖 文 件 可 以 从 OSX 的 
SDK 中 找到 参考 ， 还 有 一 些 是 开源 的 。JavaScript 
API 通 常 只 是 Objective-C API 的 封装 ， 供 iTunes、 
App Store、iCloud 和 iAd 等 应 用 中 的 网 页 调用 。 


通过 逆向 工程 得 知 的 API 通 常 需要 注入 对 应 
的 进程 才能 调用 ， 因 为 只 有 这 些 进 程 中 人 有 API 
的 实现 。 进 程 注 入 可 以 通过 
DYLD _INSERT_LIBRARIES 方 式 实现 ， 但 这 种 方 
spe ABT ABR eum. TRUE Se SOS B 
ER, AA Hin ASA BERRA o UPI EHS 
xeCydiaSubstrate, E HEFEI A ME T — Eh 
E, F51 TEMZE RAR LB ^ UR 


CydiaSubstrate 之 后 ， 只 需要 把 一 个 dylib 放 

到 /Library/MobileSubstrate/DynamicLibraries 下 即 
可 ，CydiaSubstrate 会 目 动 在 每 个 进程 局 动 时 笑 试 
把 这 个 dylib 加 载 进 去 ， 我 们 可 以 进一步 通过 编写 
一 个 plist 指 定 dylib 加 载 的 对 象 。 一 旦 我 们 的 代码 
得 到 注入 ， 融 可 以 监听 事件 ， 调 用 内 部 API， 做 
这 个 进程 本 寻 能 够 做 的 任何 事 。 这 种 注入 方式 可 
以 用 在 任何 进程 上 : 系统 App、App Store App ^ 
iOS 上 的 窗口 管理 器 SpringBoard、UI 服 务 (如 
MailComposer) 和 守护 进程 (如 mediaserverd) 
值得 一 提 的 是 ， 我 们 的 代码 只 在 注入 的 进程 内 部 
生效 ， 如 果 要 使 其 跨 进 程 作用 ， 则 需要 用 到 
sockets ` fifos ` mach ports 和 shared memory% fx 


JK © 


从 我 们 能 够 通过 入 单 方便 的 CydiaSubstrate 更 
改 现 有 的 代码 开始 ， 我 们 能 做 的 事 束 多 了 起 来 。 
因为 Objective-C 方 法 调用 都 是 在 运行 时 决定 的 ， 
而 Objective-C 的 运行 时 函数 提供 了 修改 类 和 方法 
的 API， 所 以 这 个 过 程 束 比较 直观 了 ， 大 体 古 通 
过 class_addMethod ` class getInstanceMethod ` 
method getImplementation?ill 
method_setImplementation 这 4 个 运行 时 函数 来 实现 
hook 的 功能 。 这 个 过 程 并 不 困难 ， 但 比较 繁复 ， 
许多 工具 就 是 为 了 目 动 化 这 个 过 程 而 存在 的 ， 

中 比较 简单 的 是 CydiaSubstrate 提 供 的 
MSHookMessage 另 数 ， 它 有 4 个 参数 ， 分 别 是 

一 个 类 、 一 个 你 要 hook 的 方法 名 、 一 个 新 的 实现 
和 一 个 原始 实现 。 现 在 越狱 社区 又 出 现 了 一 种 更 
众 音 的 Logos 预 处 理工 具 ， 它 引入 了 专 为 hook 设 计 


的 语法 ， 因 此 在 广大 越狱 开发 者 中 流行 了 起 来 。 
Logos 语 法 与 Objective-C 语 法 十 分 类 似 ， 把 
@implementation ClassName...%end 的 首尾 替换 
掉 ， 改 成 %hook ClassName...%end， 把 [super...] 替 
换 为 %orig 束 行 了 。 简 单 地 更 改 系 统 功 能 往往 只 需 
要 hook 一 两 个 独立 函数 ， 把 它们 的 实现 改 檀 驶 可 
以 了 ; 但 多 数 情况 下 我 们 需要 组 合 hook 好 几 个 男 
数 并 协调 它们 之 间 的 调用 天 系 。 因 为 OS 的 大 部 分 
功能 是 用 Objective-C 写 的 ， 所 以 大 多 数 tweak 仅 用 
上 面 提 到 的 语法 就 够 了 ， 但 一 旦 涉及 了 更 故 层 的 
C 函 数 ，hook 的 方法 束 要 复 灯 许多 ， 一 般 需 要 重 
写 一 段 ARM 汇 编 指 令 ， 当 然 这 种 方法 的 危险 系数 
极 高 ， 不 建议 一 般 开 发 者 尝试 。 好 在 
CydiaSubstrateti Sé BE T — "T T8] ERHJAPI, B 
MSHookFunction， 调 用 者 只 需要 把 需要 hook 的 函 
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社区 提供 的 这 些 工具 把 hook 操 作 复 杂 的 一 面 给 抽 
象 化 了 ， 封 凌 成 儿 个 简单 的 接口 供 开 发 者 使 用 ， 
从 而 使 我 们 能 够 把 精力 集中 在 tweak 的 编写 上 。 


把 这 些 越 狱 社 区 独 有 的 技术 同 App Store 开 发 
的 普 明 性 技术 绪 合 起 来 ， 我 们 得 到 了 一 套用 法 有 灵 
活 、 功 能 蝇 大 的 工具 集 ， 利 用 这 套 工 具 能 人 够 打造 
的 功能 也 将 是 前 所 未 有 的 。) 


Ryan Petrich 
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As a security measure and to keep apps on the 
device from sharing data or interfering with each 
other,iOS includes a security system known as the 
sandbox.The sandbox blocks access to files,network 
sockets,bootstrap service names,and the ability to 
spawn subprocesses.Part of the jailbreaking process 
involves modifying the sandbox so that all processes 
can load Cydia Substrate,but much of the sandbox is 
left intact to respect the security and privacy of the 


user's data. 


With each new release, Apple further improves 


the sandbox to improve privacy and security. When 


building extensions or tweaks that need to share 
information across processes or persist data to 
disk,this can be restrictive.One approach is to survey 
the sandbox restrictions that exist on the processes 
where the extension is to be run,and choose file paths 
and names based on them.This is common,but can 
leave oneself stranded when Apple tightens the 
tourniquet and as of iOS 8 there is no location that all 
processes can read and write successfully.A better 
approach is to do all of the interesting work inside a 
privileged process such as SpringBoard,backboardd 
or even a manually created launch daemon of your 
own.Child processes can then send work to the 


privileged service.This ensures that as the sandbox 


tightens,your extension will still behave properly as 


long as it can communicate with the service. 


Oddly enough,as of iOS 8 Apple has also 
decided to limit which services an app store process 
may query.This makes nearly all forms of inter- 
process communication ineffective on iOS,outside of 
the well-defined static services that Apple has 
designated.RocketBootstrap was created as a way 
around this that simultaneously allows additional 
services to be registered and respects the security and 
privacy of the user's data.Services registered with 
RocketBootstrap are made globally accessible even 


in spite of very restrictive sandbox rules and it will 


serve as a single project that needs updating as the 


rules change. 


(出 于 安全 考虑 ， 也 为 了 让 每 个 App 运 行 在 
自己 的 独立 空间 里 ，iOS 引 入 了 名 为 “ 沙 
fH" (sandbox) 的 安全 体系 。 沙 箱 会 拦截 文件 访 
问 、 网 络 套 接 字 、Bootstrap 服 务 ， 以 及 对 子 进程 
的 spawn。 越狱 操 作对 沙 箱 作 出 了 适量 修改 ， 使 所 
有 进程 都 能 够 加 载 CydiaSubstrate， 但 为 了 用 户 的 
隐私 安全 ， 大 多 数 沙 箱 限制 仍 保 留 原 样 。 


在 每 一 版 iOS 中 ， 平 条 公司 都 会 增强 沙 箱 的 作 
用 。 当 我 们 的 tweak 需 要 路 进 程 访问 数据 或 加 硬盘 
ERGE, WAR ARI ERER RPE o 
这 些 限 制 的 方案 之 一 古人 视 tweak 运 行 在 哪些 进程 中 
而 定 ， 选 返 一 个 这 些 进程 痢 能 访问 的 路 径 或 文 


件 ， 达 到 共 吾 数据 的 目的 。 这 是 一 种 常规 的 方 
法 ， 但 一 旦 苹果 公司 再 次 收 紧 沙 箱 的 限制 ， 这 种 
方法 就 可 能 失效 ， 比 如 iOS 8 中 己 经 不 存在 一 个 所 
有 进程 乡 可 读 写 的 路 径 了 。 男 一 种 更 好 的 方案 是 
把 类 似 操 作 放 在 权限 高 的 进程 ， 如 SpringBoard ` 
backboardd， 长 至 是 我 们 目 己 编写 的 守护 进程 里 
去 完成 ， 我 们 的 tweak 所 在 的 进程 只 需要 把 受 限制 
的 操作 于 给 这 些 高 权限 的 进程 ， 然 后 坐等 结果 就 
可 以 了 。 这 么 做 的 好 处 是 ， 即 使 沙 箱 的 限制 越 来 
越 严 ， 只 要 tweak 所 在 的 进程 能 够 与 高 权限 进程 通 
信 ，tweak 整 能够 正常 运行 。 


奇怪 的 是 ， 在 iOS 8 里 ， 苹 果 公 司 其 至 限制 了 
AppStore App 所 能 访问 的 服务 ( 即 能 够 通信 的 进 
ER) ， 导 致 几乎 所 有 AppStore App 的 进程 间 通 信 


都 失效 了 。RocketBootstrap 应 运 而 生 ， 它 既 破 除 
了 上 面 提 到 的 访问 限制 ， 又 较 好 地 保留 了 沙 箱 的 
防护 。 向 RocketBootstrap 注 册 的 服务 可 以 被 全 系 
统 进程 访问 ， 包 括 那 些 沙 箱 限 制 非常 严格 的 进 
程 ，RocketBootstrap 是 一 个 单独 的 程序 ， 随 着 苹 
果 限 制 规划 的 变化 ， 我 会 不 断 调整 
RocketBootstrap 的 代码 使 其 能 够 正常 运行 。) 


Ryan Petrich 
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I am not a prolific programmer by any means.I 
have a programmer's mind,and I have proven in my 
days I am capable of writing working solutions.I 
have a few tweaks in my name,and more ideas to be 
realized.Creating more has been about having more 
free time.However,my time has been spent becoming 
familiar with iOS-internals,because I find that I am a 
good learner.I have a fair understanding due to the 
tools we have available,made by great programmers 
before our time,and from documentation and 
examples shared by the community.Because of the 
nature of Cocoa and Objective-C,we can take a great 


adventure and introspection into the workings of 


third-party software,and Apple's operating 
system.This provides a foundation and skills for 
making tweaks.We want to encourage tweak making 
because it has been the driving initiative behind the 
audience that wants to have jailbroken 
devices,besides for the groups that wish to only have 
a jailbreak for pirating apps and games.The growth of 
this jailbreak ecosystem has gone with the 
proliferation of new tweaks,ever pushing the 
boundaries of modification while maintaining a safe 


environment for the end-users. 


The jailbreak development scene has given a 
unique opportunity to developers to express 


themselves in a new way.In the days before 


CydiaSubstrate,apps and games were not 
tweaked.This is a new concept;examining and 
debugging existing software and then rewriting 
portions of it with the least invasive tools 
available,the changes are nonpermanent and for the 
most part free of worry for breaking something with 
any lasting effect. Tweaks allow for a redefining of 
how software works and behaves.We do this with 
tweaks,and there has really been nothing like it 
before in the world of programming,even on the 
PC.There were opportunities throughout previous 
decades to make game patches,hacks and so forth,but 
it's only with the emergence of the audience of 
jailbreakers and iOS that we find our unique 


situation.Only recently has it become feasible to 


make small adjustments to existing UI and modify 
how things work without requiring the replacement 
of whole parts of the code-CydiaSubstrate allows 


careful targeting of methods and functions. 


It's a lot of fun to discover how things work,and 
tweak making is the embodiment of that fun time for 
developers.One of the challenges for tweak making is 
coming up with new ideas to create,and sometimes 
these ideas only arise after studying the internals in 
some detail.If you make tweaks as a hobby,and not as 
a profession,you're free to do as you wish and to 
focus on projects that interest you.For new tweak 
makers,there're quite a lot of existing projects to 


learn from,but a lot of the easier projects have 


already been realized.Creating new original ideas that 
are unique is a task of being familiar with the 
available tweaks on Cydia,and then going to work 
discovering how the internal parts work,debugging 
and testing until you have a diagram or picture in 
your mind how it's put together. When you reach a 
near complete understanding,you are primed to tackle 


whatever challenge you make for yourself. 


Some of our greatest tools and resources are 
free: Apple's own documentation is excellent,and 
for tweak makers we have a wiki and the opportunity 
to use class-dump to examine what methods are 
exposed for hooking inside the target app or 


process.Debugging and disassembly tools that vary 


from free to paid,all can be great assets for tweak 
makers.A well-studied programmer with some prior 
experience with standard projects will be in a good 
position to continue learning from these materials. To 
the contrary,a newcomer programmer,even a person 
with some good ideas will struggle at first with the 
learning curve. We recommend a core understanding 
of Objective-C and Cocoa principles for aspiring 
young tweak makers;this can be a significant 
investment of time,but it is really a hurdle for new 
tweak makers that haven't a clue where to start. To 
the uninitiated,the object-oriented nature of the 
programming involved can be a daunting thing to 
realize.Generating tweak ideas can be a task for 


amateurs,but the writing of the code for the tweak 


implementation is often the result of planning and 
research and testing for a significant time.We find 
that many young new programmers are impatient 
because their ideas for new tweaks do take more time 
to materialize than they were willing to 
invest.Patience is a virtue of course,and the best- 


made tweaks are all products of careful programmers. 


The greatest tweak is 
Activator(libactivator).Based on a commonsense idea 
of having more triggers system-wide,activator is also 
a graciously open-sourced project;the product of 
many months and years of work by our most senior 
tweak maker, Ryan Petrich.His dedication and 


expertise shines through in Activator,which doubles 


as a platform for third-parties to harness the powerful 
triggers from anyplace to use in their own projects.Tt 
represents a lot of research and understanding of the 
most obscure internals on iOS: SpringBoard and 
backboard.If there is one shining example to point to 
as a goal for a tweak maker to show how much 
research and careful planning can go into a 
tweak,that is the example to look towards.It's a lofty 
project that none should consider as being trivial to 
do,however.For some aspiring developers it can be a 
great encouragement to see what is possible.Kudos to 
Ryan Petrich for making it,and for all he does to 


further the jailbreak development community. 


As the repo maintainer for TheBigBoss,I have a 
job description for myself.Doing my job has given 
tremendous opportunity to be an influence or 
guidance for new tweak makers.Often their first 
experience with another member of the jailbreak 
development community is with myself when they 
first contact me or submit to the repo.We wish that all 
developers can be involved in the social channels of 
this scene: chat,forums,twitter et al.,however,it's not 
uncommon that some developers work in relative 
isolation from these social groups.My involvement 
then can be seen as important: I may be the only 
other voice that the programmer will hear,and I will 
give an opinion on the technical merits of new tweak 


projects;often this first encounter is invaluable 


because those developers that work in isolation are 
not wise to many of the caveats and conventions we 
hold as important in this community.Our 
documentation and wikis have improved to make 
these details more available,but still I am often the 
first time a developer has some interaction with 
someone with a greater expertise than their own.I try 
to give my wisdom and guidance to the developers 
because its in our best interest to support,if not 
groom,newcomer developers so they feel as part of 
the group of jailbreak developers,and they can be 
pointed towards ways to avoid some of the pitfalls 
that many newcomers make.I take some pride in 
doing this and helping in part to strengthen the 


developer community that is based around the tweak- 


making culture.I want the jailbreak platform to 
continue to grow and mature by the great ideas that 


are envisioned and the expertise to realize them. 


Do not be discouraged when the task seems 
difficult. We have some developers with years and 
decades of programming experience,and we also 
have some with only a few weeks or months.I come 
from the school of thought that it should be well 
made and well tested,and not rushed or forced.If you 
have a goal,it should not be merely to have 
something of yours published on a Cydia repo,but to 
give something to the public,which will enrich their 
jailbreak experiences-that is for hobbyists like 


myself.If you have some commercial interest in 


Cydia,and for making an selling tweaks,do wide 
testing with users and alongside other tweaks to help 
assure a product that works for many users and their 
combinations of tweaks;your duty as a responsible 
tweak maker is to be careful while you modify the 
insides of others’ programs or apps,and to be 


thorough in testing compatibility with others’tweaks. 


Tweak making is the new-age hacking. There’re 
already enough reasons for you to get started with 
tweak development,and we need tweaks to keep the 
jailbreak community in bloom.Join us,learn from 


others,work hard,be patient,and have fun. 


(怎么 说 我 都 不 算是 一 个 高 产 的 程序 员 ， 不 
过 我 的 思维 方式 完全 十 程序 员 式 的 ， 因 为 在 写 程 


序 时 ， 我 已 经 证 明了 目 己 具备 解决 问题 的 能 
虽然 我 以 个 人 开发 者 的 号 份 发布 了 儿 束 tweak， 但 
侠 还 有 很 多 想法 没 来 得 及 实现 ， 因 为 我 的 时 间 大 
都 伦 在 研究 IOS 内 部 构造 上 了 ， 而 且 作 品 越 多 ， 总 
味 看 化 在 它们 上 面 的 时 间 束 越 多 ， 所 以 .….…. 


通过 使 用 前 府 们 创造 鸭 分 机 工具 ， 参 考 iOS 社 
区 共 至 的 文档 和 例子 ， 我 对 iO0S 的 了 解 还 算 深 入 。 
因为 Cocoa 和 Objective-C 语 言 的 本 质 ， 我 们 有 机 会 
观察 分 析 iOS 及 其 软件 的 工作 原理 ， 这 些 都 是 编写 
tweak 有 的 匈 决 条 件 。 很 多 越狱 iOS 用 户 越 狐 目 己 设 
备 的 根本 原因 束 是 要 安 狠 那些 方便 好 用 的 tweak， 
这 也 是 我 们 或 励 iOS 程 序 员 来 研究 /开发 tveak 的 原 
因 之 一 ， 而 绝 不 是 为 了 安 儿 盗 版 软件 。 随 痢 新 


tweak 的 出 现 ， 这 种 越狱 生态 系统 也 在 不 断 莲 勃发 
展 ， 同 时 也 促成 1OS 上 发 生 越 来 越 多 的 改变 。 


在 传统 AppStore 开 发 之 外 ， 越 狱 开 发 提供 了 
一 种 非常 独特 的 方式 让 开发 者 们 表达 自己 的 想 
法 。 在 CydiaSubstrate 出 现 之 前 ，tweak 的 概念 十 分 
抽象 ， 而 现在 它 已 经 有 有 了 非常 具体 的 定义 : 调试 
分 析 现 有 的 软件 ， 然 后 重 写 它 的 某 个 部 分 ， 并 尽 
可 能 减 小 对 其 他 部 分 的 影响 。 重 写 所 造成 的 改变 
并 不 是 永久 的 ， 即 使 这 种 改变 破坏 了 原 有 有 软件 ， 
也 可 以 很 方便 地 修复 。 用 一 句 话 概括 束 是 : tweak 
重新 定义 了 软件 的 功能 。 在 编程 的 历史 中 ， 这 种 
概念 前 所 未 有 “。 在 过 去 ， 做 游戏 修改 项 、 给 软件 
打 仆 丁 是 很 常见 的 现象 ， 但 随 看 iOS 和 越狱 平台 的 
出 现 ， 借 助 CydiaSubstrate 的 力量 ， 我 们 可 以 把 对 


软件 的 修改 精确 到 函数 级 别 ， 这 是 越狱 开发 的 一 
ANES 


探索 事物 的 工作 原理 是 一 件 充满 乐趣 的 事 

情 ， 开 发 者 编写 tweak 就 是 一 例 。 在 编写 tweak 之 
前 ， 我 们 最 完 面 对 的 挑战 就 是 寻找 灵感 ， 而 灵感 
往往 是 在 对 iOS 进 行 重重 分 析 之 后 才 产 生 的 。 初 学 
者 可 以 从 很 多 现成 开源 工程 中 学 习 ， 但 很 多 简单 
的 想法 都 已 得 到 实现 。 如 采 想 要 原创 tweak， 那 么 
BIKE AE Cydia EWA Wtweak, ARATE 
们 的 实现 方法 ， 直 到 理 清 所 有 逻辑 ， 并 且 有 把 握 
编写 相同 功能 的 tweak。 不 断 地 重复 这 个 过 程 ， 等 
你 讨 悉 这 个 套路 之 后 ， 也 残 基本 具备 把 灵感 变 成 
tweak 的 能 力 了 。 


投入 到 iOS 越 狱 开发 并 不 是 一 件 很 无 助 的 事 
情 ， 因 为 许多 最 常用 的 工具 和 资源 都 是 免费 的 : 
Apple 官 方 文档 编写 十 分 详尽 ，iphonedevwiki 上 有 
很 多 有 价值 的 信息 ，class-dump 可 以 导出 详尽 的 头 
言 轧 。 而 且 调试 和 反 汇 编 工 具 也 有 免费 的 ， 如 
IDA demo 和 LLDB， 这 些 都 是 编写 tweak 的 利器 。 
一 名 合格 的 AppStore 开 发 痢 完全 可 以 从 这 个 角度 
入 手 ， 开 始 越 狱 开发 之 路 ;不 过 如 果 是 一 名 纯 采 
马 ， 你 的 日 子 可 能 就 不 那么 好 过 了 ， 我 建议 你 先 
完整 学 习 Objective-C 和 Cocoa 的 概念 及 原理 ， 之 后 
再 考虑 进入 越狱 开发 这 个 领域 。 虽 然 前 期 的 概念 
学 习 过 程 需要 花费 较 长 时 间 ， 但 这 是 新 手 必 须 迈 
过 的 坎 。 小 小 提醒 : Objective-C 语 言 的 面向 对 象 
符 性 可 不 是 那么 好 民 的 。 虽 然 tweak 的 创意 构思 不 
设 门 槛 ， 普 通用 户 即 可 轻松 完成 ， 但 实现 的 过 程 


却 需 要 程序 员 投 入 大 量 时 间 。 在 这 些 年 的 经 历 
中 ， 我 发 现 很 多 初学 着 都 不 够 耐心 ， 他 们 有 很 好 
的 想法 ， 但 是 太 急 于 求 成 ， 一 旦 发 现 完成 tweak 所 
需 的 时 间 多 于 预期 ， 束 打 退 党 避 了。 殊不知 ， 
Cydia 中 最 出 色 的 tweak， 往 往 都 是 由 那些 有 而 

心 、 能 坚持 的 开发 痢 完 成 的 。 


比如 Activator， 它 年 迄今 为 止 我 眼中 当 之 无 
愧 的 tweak 界 无 冕 之 王 ， 但 它 的 创意 并 不 高 深 ， 允 
是 把 常见 的 手势 使 用 范围 扩展 至 全 系统 (rpetrich 
不 仅 将 它 开源 ， 还 为 第 三 方 应 用 提供 了 接口 ， 大 
将 风范 展露 无 疑 ) 。 虽 然 这 个 概念 看 似 每 个 iOS 用 
户 都 想得到 ， 但 Activator 是 iDOS 越 狱 社 区 最 顶尖 的 
开发 着 之 一 rpetrich 经 年 素 月 完成 的 作品 ， 族 结 了 


ERSA m, WERE RT RETA e Activatori e 


rpetrich»iOS F iE AS pringBoard#llbackboard 
的 深入 研究 ， 如 果 一 个 tweak 开 发 者 想 要 拿 一 个 
tweak 作 为 目 己 努 力 的 终极 目标 ， 那 么 Activator 再 
合适 不 过 了 。 千 万 不 要 以 为 Activator 完 成 的 工作 
难度 不 大 ， 如 果 你 觉得 目 己 足够 蝇 ， 可 以 试 试看 
能 不 能 写 出 同样 功能 的 tweak。 在 此 同 rpetrich 致 
AS | 


fEZjTheBigBoss/BHJEr Hin, fay Ft, jd 
的 工作 是 积极 影响 、 回 上 引导 初学 者 。 对 于 这 些 
人 来 说 ， 我 往往 是 他 们 进入 越狱 开发 社区 后 碰 到 
的 第 一 个 圈 内 人 。 我 希望 所 有 越狱 开发 者 都 能 通 
过 各 种 渠道 ， 比 如 聊天 工具 、 论 坛 、 微 博 等 ， 进 
行 交 流 ， 但 很 多 情况 下 还 是 有 些 开 发 者 不 善 交 
流 ， 独 日 工作 ， 而 这 时 我 的 作用 束 凸 显 出 来 了 : 


他 们 往 TheBigBoss 产 提交 作品 ， 丈 必须 跟 我 交 

流 ， 而 我 也 会 从 拉 术 角 大 评价 他 人 tweak 的 优 务 。 
他 们 或 许 不 如 悉 这 个 圈子 的 各 种 规则 ， 于 古 我 环 
会 对 他 们 进行 科普 ， 让 他 们 少 走 些 弯路 。 我 愿意 
尽 可 能 向 他 们 提供 帮助 ， 让 他 们 感觉 目 己 是 这 个 
大 图 了 中 的 一 员 。 我 为 目 己 的 所 作 所 为 感到 骄 

做 ， 因 为 我 为 越 狐 任 区 的 文化 建设 页 献 了 一 份 力 
E o RADA BOUL KREME, SPOR 
层出不穷 ， 各 类 人 才 百 化 齐 放 。 


当 你 碰 到 难题 时 ， 不 要 人 气 匡 。 在 越狱 社区 
里 ， 有 些 程序 员 已 映 经 百 战 ， 也 有 些 才 刚刚 上 
路 ， 不 管 你 属于 哪 一 类 ， 痢 应 该 以 太 肃 、 认 真 、 
负责 的 态度 对 待 目 己 的 作品 ， 水 到 方 能 洪 成 ， 报 
盏 看 能 助长 ? 你 要 设立 的 目标 不 应 仅仅 是 在 Cydia 


上 发 布什 么 软件 ， 而 是 分 至 你 的 经 验 ， 让 大 家 受 
答 于 此 。 当 然 ， 这 是 站 在 非 商 业 角 度 来 说 的 。 如 
末 你 想 要 徘 卖 Cydia 软 件 赚钱 ， 束 尽 可 能 广泛 地 测 
运 你 的 软件 ， 确 傈 它 能 正明 工作 。 作 为 一 个 负责 
任 的 tweak 开 发 者 ， 你 要 记 住 ， 你 是 在 改动 别人 的 
软件 ， 还 要 和 其 他 的 tweak 兼 容 ， 所 以 要 慎之 又 
TEL ò 


^S 


tweak 开 发 是 新 时 代 的 hacking。 你 已 有 足够 的 
理由 来 说 服 自己 加 入 tweak 开 发 的 大 部 队 ， 越 狱 社 
区 也 需要 tweak 来 你 持 旺 盛 的 生命 力 。 加 入 我 们 ， 
从 中 学 习 ， 好 好 努力 ， 你 持 耐 心 ， 你 一 定 会 感到 
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Cydia 中 最 知名 默认 软件 着 TheBigBoss 的 管理 员 


